Espace adhérent
Comment pouvons-nous vous aider ?
Suivez-nous
Retour aux ressources documentaires
La normalisation au service de la protection des données personnelles
L’Organisation Internationale de Normalisation (ou « ISO ») et la Commission Electrotechnique Internationale (ou « IEC ») ont publié fin juillet 2014, la norme ISO/IEC 27018 constituant des bonnes pratiques pour la protection des données personnelles dans les services de Cloud Computing.
La publication de cette norme donne un éclairage particulier sur les bénéfices de la normalisation qui permet non seulement de renforcer les outils de mise en conformité au cadre légal, mais également de répondre aux enjeux de protection des données personnelles liés aux évolutions technologiques dans une dimension internationale.
Par
Arnaud David – Juriste Senior - Microsoft
Stéphane Guilloteau – Expert Sécurité - Orange Labs
Paul Houzé – Responsable Normalisation – Microsoft
Qu’est-ce que la normalisation ?
La normalisation est une activité d’intérêt général. Elle permet l’élaboration, de manière consensuelle, de documents de référence [1].Dans une très grande majorité des cas, les normes sont proposées, élaborées et appliquées de manière volontaire par les parties intéressées (notamment industriels, utilisateurs, entités gouvernementales, monde académique) qui souhaitent les mettre en œuvre ou les voir mettre en œuvre.
Le recours à la normalisation présente un certain nombre d’avantages, dont la caractérisation d’un « état de l’art » (issu d’une convergence d’intérêts) permettant d’une part aux pouvoirs publics de disposer d’outils de présomption de respect des exigences réglementaires et d’autre part, aux opérateurs économiques de faciliter leur conformité auxdites exigences. L’adoption de normes facilite également l’accès à un niveau d’expertise sur lequel peuvent s’appuyer les autorités réglementaires dans le cadre de contrôles. Ceci favorise la prise en compte effective des évolutions technologiques à un niveau international. Un autre avantage de la normalisation répond à la nécessité pour l’administration de réduire le nombre de textes réglementaires et de se conformer aux engagements internationaux [2]. Les entreprises y voient quant à elles un moyen d’harmoniser les marchés.
Il existe plusieurs catégories de normes ayant toutes des objectifs spécifiques.
Les normes fondamentales permettent tout d’abord de définir un vocabulaire, des symboles ou des outils statistiques communs. Par exemple, la norme ISO/IEC 17788 définit le cadre du Cloud Computing et son vocabulaire, alors que la norme ISO/IEC 17889 détaille quant à elle les architectures de référence de cette technologie. Par ailleurs, les normes de spécifications permettent de définir des caractéristiques et des performances de produits, de services ou de procédés particuliers. Tel est le cas par exemple de la norme ETSI EN 301 908 sur les systèmes de télécommunication cellulaires. Il existe également des normes de méthode, d’essai et d’analyse et des normes d’organisation portant sur des systèmes de management, de logistique, de sécurité ou de maintenance comme la désormais très célèbre norme ISO 9001 sur les critères d’un système de management ou, en ce qui concerne le numérique, la norme ISO/IEC 27001 sur le système de gestion de la sécurité de l'information.
L’ISO est le plus grand producteur et éditeur mondial de normes internationales. L’ISO a un comité commun avec l’IEC, le JTC1 (Joint Technical Committee), qui est composé d’un certain nombre de comités, dont le Sous-comité 27 « Techniques de sécurité des technologies de l'information ». Ce Sous-comité regroupe en son sein 27 délégations dont la France, qui est représentée par l’Agence Française de Normalisation (AFNOR). L’élaboration des normes est plus particulièrement confiée à différents groupes de travail (working groups) répartis en fonction de spécialités. Tel est le cas du « WG 5 » dédié à la « Gestion de l'identité, protection des données à caractère personnel et techniques d’authentification biométriques ».
L’un des objectifs de ce groupe est de faire en sorte que les normes puissent efficacement contribuer aux objectifs du cadre légal applicable en matière de protection des données personnelles. Le groupe de travail « WG 5 » a ainsi pris en compte l’environnement réglementaire européen de protection des données personnelles, l’un des plus contraignants au monde, afin de pouvoir dégager des bonnes pratiques participant à son respect.
Les travaux réalisés sur ce sujet reposent essentiellement sur une « approche par les risques » qui s’avère la plus cohérente par rapport aux fondements de la réglementation de protection des données personnelles. Cette dernière garantie les droits fondamentaux des personnes dont les données sont traitées et repose sur les mesures à mettre en œuvre par les responsables de traitement et sous-traitants afin d’empêcher toute atteinte aux dits droits.
Le WG 5 a porté son attention sur l’obligation de sécurité qui figure à l’article 17 de la Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [3].
La normalisation, un outil pour contribuer à la protection des données personnelles à un niveau international
Comme le rappelait la Présidente de la Commission Informatique Nationale de l’Informatique et des Libertés en 2013, l’évolution toujours plus rapide des technologies et des usages, la mondialisation des échanges rendent nécessaires l’adoption d’ « outils régulatoires ». Elle précisait à cet égard que « la protection des données personnelles est un champ d’expérimentation privilégié d’une telle évolution et la CNIL s’appuie de plus en plus sur tout une gamme d’instruments juridiques flexibles et fins, négociées souvent avec les acteurs privés » [4]. Ainsi, la notion de « droit souple » ou « soft law » permet de contribuer aux objectifs de protection des données personnelles. Cette notion de « droit souple » est complémentaire du « droit dur » et ne s’y oppose pas. Cela signifie que l’organisme concerné par la mise en conformité est impliqué de manière active et non passive. L’organisme participe à la mise en œuvre de règles, de garanties et de contrôles. Il n’attend pas d’être contrôlé par une autorité pour mettre en œuvre les mesures adéquates. Il se donne les moyens de rendre compte auprès des autorités même si celles-ci conservent de stricts pouvoirs de contrôle et de sanction.
La CNIL a ainsi créé sa propre doctrine au moyen d’un certain nombre de recommandations de sécurité à destination des responsables de traitement et des sous-traitants leur permettant ainsi de se conformer aux exigences de la « Loi Informatique et libertés ». Tel est le cas par exemple du guide « Sécurité des données personnelles » de 2010 ou des guides avancés pour « Gérer les risques sur la vie privée » de 2012. La CNIL met en avant des normes telles que ISO/IEC 27002 sur les bonnes pratiques pour le management de la sécurité de l’information, ISO/IEC 27005 sur la gestion des risques en sécurité de l’information, ISO/IEC 29100 sur le cadre de la protection des données ou encore ISO 31000 sur le management du risque. Au surplus, s’agissant de l’intégration de la protection de la vie privée dans les projets, elle recommande, en tant que bonnes pratiques de gouvernance, l’obtention d’une certification de système de management de la sécurité (ISO/IEC 27001) [5].
L’initiative de cette autorité de protection démontre l’importance de la norme en tant qu’outil de conformité dans un environnement réglementaire aussi technique et complexe que celui des données personnelles. Cette dynamique semble d’ailleurs fortement encouragée par le projet de règlement de protection des données personnelles qui fait référence à la « privacy by design », à la mise en œuvre de mesures organisationnelles et techniques proactives et, plus largement, à la capacité de prendre en compte et de rendre compte de sa conformité pour le responsable de traitement mais aussi du sous-traitant (principe d’ « accountability ») [6].
La normalisation joue un rôle certain dans cette perspective car les organismes de normalisation ont anticipé ces questions. La norme ISO/IEC 29100 par exemple reprend dans ses libellés les principaux piliers de la réglementation de protection des données personnelles comme le principe de la finalité du traitement, de proportionnalité et pertinence des données, de la durée limitée de conservation, de la sécurité et confidentialité des données, et droit au respect des personnes.
Dans ce cadre, cette norme dessine les contours du principe d’ « accountability » en précisant que l’organisme met en œuvre, au titre de ce principe :
- Une documentation et une communication appropriées de l’ensemble de ses politiques, procédures et pratiques pour la protection des données personnelles ;
- La désignation d’une personne responsable de l’implémentation des politiques, des procédures et des pratiques ;
- Le transfert uniquement vers des tiers dont le niveau de protection est adéquat ;
- La formation adaptée des personnels chargés des traitements ;
- Une gestion des plaintes ;
- La notification des failles de sécurité ;
- Les correctifs et compensations en cas de préjudices.
La norme ISO/IEC 27018 définit quant à elle un certain nombre de mesures nécessaires pour que l’organisation les mettant en œuvre puisse être considérée comme étant « responsable » [7].
Exemple pratique de l’adéquation des normes aux évolutions technologiques : la protection des données par les prestataires de Cloud Computing
La norme ISO/IEC 27018 publiée récemment par l’Organisation Internationale de Normalisation, s’inscrit dans le cadre de la norme de management de la sécurité des systèmes d’information ISO/IEC 27001 et de la liste de mesures de sécurité définie par la norme ISO/IEC 27002 [8]. Elle ajoute à cette liste un certain nombre de points de contrôle destinés aux prestataires de Cloud Computing spécifiquement dédiées à la protection des données personnelles.
Cette norme répond en définitive à deux objectifs principaux que sont la protection des données personnelles dans les services de Cloud Computing et l’amélioration de la confiance dans les sous-traitants qui adhéreront à ces bonnes pratiques.
Les mesures recommandées dans le cadre d’ISO/IEC 27018 ont été élaborées sur la base des exigences de la Directive 95/46/CE et de l’interprétation qui en est faite par les régulateurs comme le Groupe de l’Article 29 [9].
Aussi, on retrouve au titre des éléments clés de cette norme et des mesures à mettre en œuvre :
- Le principe du consentement préalable : les données ne peuvent être traitées par le prestataire, en tant que sous-traitant, à des fins publicitaires et marketing, sauf avec le consentement exprès et préalable du client ;
- Le principe de transparence dans l’exécution du service : le prestataire de Cloud doit informer ses utilisateurs du ou des lieux de stockage des données ainsi que de l’identité des éventuels sous-traitants amenés à intervenir. Il doit également s’engager à prendre des engagements fermes et clairs sur la manière dont les données sont traitées ;
- Notification des failles de sécurité : le prestataire s’engage, en cas de failles de sécurité affectant les données, à en informer l’utilisateur ainsi que les autorités et à aider les utilisateurs à se conformer à leurs propres obligations d’information. Le prestataire s’engage également à ne pas divulguer d’informations aux autorités nationales sauf lorsqu’ils y sont tenus par la réglementation applicable et, dans ce cas, à en informer le client, sauf interdiction légale ;
- Le principe de la conservation limitée : le prestataire doit mettre en œuvre une politique en matière de destruction des données personnelles à l’issue du contrat ;
- Le principe de confidentialité : le prestataire de Cloud doit conclure des engagements de confidentialité avec les membres du personnel qui ont accès aux données personnelles et à leur fournir toute formation requise ;
- La garantie d’un accès aux données : le prestataire est conduit à coopérer et à mettre des moyens pour ses clients afin que ces derniers soient en mesure de respecter les droits des personnes dont les données sont traitées dont leurs droits d’accès, de rectification ou de suppression de leurs données.
En d’autres termes, la norme ISO/IEC 27018 permet aux prestataires qui mettent en œuvre lesdites mesures de répondre aux exigences de la réglementation.
Cette norme répond par ailleurs aux attentes des autorités de contrôle de l’Union Européenne qui réclamaient l’introduction d’un cadre normatif permettant de contrôler les engagements pris par les sous-traitants du Cloud, de manière à renforcer la confiance des utilisateurs dans le cadre de l’utilisation de solutions Cloud [10].
Le développement de normes permet la construction participative de moyens de protection des données personnelles dans un contexte de globalisation des échanges. Ainsi, les normes ISO pour la protection des données personnelles répondent aux exigences de responsabilisation des acteurs fixées par la révision du cadre légal et réglementaire européen et permettent d’améliorer les relations de confiance entre les différentes parties prenantes d’écosystèmes de plus en plus complexes. Elles permettent, comme avec la norme ISO/IEC 27018, de mettre en place un dispositif d’encadrement des relations contractuelles et de mise en conformité.
Le recours aux normes semble en effet être un outil approprié pour répondre aux nouvelles opportunités technologiques que sont le Cloud Computing, le Big Data, la business intelligence ou le Machine Learning, mais également aux réglementations en cours d’élaboration concernant la protection des données personnelles.
[1] Voir en ce sens le Décret n°2009-697 du 16 juin 2009 relatif à la normalisation.
[2] Voir en ce sens l’article 2.4 de l’accord sur les obstacles techniques au commerce qui stipule « dans le cas où les règlements techniques sont requis et où des normes internationales pertinentes existent ou sont sur le point d’être mises en forme finale, les [Etats] Membres utiliseront ces normes internationales ou leurs éléments pertinents comme base de leurs règlements techniques (…).
[3] Dont la correspondance en droit français figure aux articles 34, 34 bis et 35 de la Loi 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
[4] Voir en ce sens « le droit souple vu de la CNIL : un droit relais nécessaire à la crédibilité de la régulation des données personnelles », Isabelle Falque-Pierrotin, rapport du Conseil d’Etat sur le droit souple p. 257.
[5] Mesures pour traiter les risques sur les libertés et la vie privée, éd. 2012, p.81
[6] Voir la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) et les amendements relatifs
[7] Voir en ce sens l’article A.9 « accountability » de la norme ISO/IEC 27018.
[8] Voir les normes ISO/IEC 27001 et ISO 27002 sur http://www.iso.org
[9] Ce groupe a été institué par la directive 95/46/CE et est composé des 28 autorités de protection des données personnelles en Europe (CNIL, ICO, AEPD, etc.).
[10] Communication de la Commission européenne sur la stratégie en matière de Cloud, COM2012 229.
Autres ressources
Social
Chiffres de Référence RH/Social - Mai 2024
26 avr 2024
26 avr 2024Les chiffres de référence recensent les principaux chiffres, indices et taux à connaître p...
Social
Lettre "Social" Mai 2024
26 avr 2024
26 avr 2024Nous vous invitons à consulter les dernières actualités sociales, au niveau réglementaire,...
Juridique
Les enjeux juridiques de l'intelligence artificielle
25 avr 2024
25 avr 2024Retrouvez le support et le replay de la conférence du 25 avril 2024 !
Nos articles
Suivez nous
Devenir adhérent
Rejoignez la première organisation professionnelle de l’écosystème numérique français et participez à la transformation numérique de l'industrie et des services.
BESOIN DE PLUS D’INFORMATIONS ?
Pourquoi adhérer ?CONVAINCU ?
Adhérer en ligne !