Le réseau ISO vient d’annoncer que la confidentialité programmée (Privacy By Design) deviendra prochainement une norme ISO internationale : La Norme ISO 31700. Alors, que faut-il savoir sur cette norme ? Qu’elle est son périmètre d’application ? Quid du RGPD ? C’est ce que nous verrons dans cet article.
Qu’est ce que la Confidentialité Programmée (Privacy By Design) ?
Le Privacy by Design est la volonté d’appliquer la protection des données personnelles dès la mise en oeuvre des projets. Cela consiste en un ensemble de dispositifs et de processus qui permettent la confidentialité de vos données au plus haut niveau des projets, et inclus directement dans les solutions, services, et produits proposés par l’organisme concerné.
Le Privacy by Design est en train de devenir un standard international pour la protection des produits et services destinés aux consommateurs. Par l’adoption de la norme ISO 31700, cela fournira un cadre de niveau élevé pour aider les organisations à améliorer leur confidentialité programmée afin de protéger la vie privée tout au long du cycle de vie d’un produit de consommation, y compris les données gérées par les consommateurs.
En quoi consiste la norme ISO 37100 ?
L’adoption de la norme ISO permet de mettre en pratique le concept de Privacy by Design en aidant les organisations à comprendre comment le faire.
La norme ISO 31700 comporte 30 exigences pour la mise en œuvre du principe de confidentialité dès la conception.
- Des conseils sur la conception de capacités pour que les consommateurs puissent faire respecter leurs droits à la vie privée,
- La désignation de rôles et d’autorités pertinents,
- La fourniture d’informations sur la confidentialité aux consommateurs,
- La réalisation d’évaluations des risques pour la vie privée,
- L’établissement et la documentation des exigences pour les contrôles de confidentialité,
- La conception de contrôles de confidentialité,
- La gestion des données du cycle de vie,
- La préparation et la gestion d’une violation de données.
En implémentant la protection de la vie privée dès la conception, les organisations peuvent non seulement se conformer aux exigences du RGPD, mais également démontrer leur engagement en faveur de la protection des informations personnelles, ce qui renforce la confiance des clients et leur offre un avantage compétitif sur le marché.
Quel est le lien entre l’ISO 31700 et le RGPD ?
La norme ISO 31700 et le RGPD n’ont pas encore de liens réels et officiels. Cependant, on note que les lignes directrices de l’EDPB ont été utilisées afin de préparer cette norme. Plusieurs exigences se retrouvent avec celles attendues par le RGPD, comme le fait de fournir des informations sur la gestion de la vie privée des utilisateurs et de garantir la protection des données personnelles des consommateurs.
Attention : la norme ISO ne signifie pas la conformité au RGPD (et inversement). Cependant, la norme ISO 31700 devrait être utile et inspirer ceux qui mettent en place des mesures et des garanties techniques et organisationnelles dans le cadre du RGPD.
On note également que le CEPD a encouragé les entreprises à utiliser les certifications et codes de conduite disponibles sur le marché. ll sera donc plus facile pour les entreprises qui se basent sur des normes internationales de prouver leur conformité aux autorités, et ainsi gagner la confiance des consommateurs et fidéliser leurs partenaires, clients et collaborateurs. Ce qui pourrait se valoriser comme un avantage stratégique face à leurs concurrents.
Il faut également noter que le RGPD prévoit l’introduction de mécanismes de certification spéciaux (articles 42 et 43 du Règlement) et que le CEPD, en donnant des orientations à ce sujet (lignes directrices 1/2018 relatives à la certification et à la définition des critères de certification conformément aux articles 42 et 43 du règlement), a accepté que les critères de certification puissent être établis en respectant les normes ISO.
En résumé :
En résumé, afin de permettre aux consommateurs de faire respecter leurs droits à la vie privée. Il est important de se rendre compte que cette norme de confidentialité dès la conception est non seulement une belle opportunité pour une meilleure protection des données personnelles, mais aussi pour les entreprises.
Chez Unitae RGPD, nous souhaitons accompagner les organismes dans leurs démarches de certification ISO et d’assurer la conformité des processus et documents relatifs à la protection des données. N’hésitez pas à nous solliciter si vous souhaitez avoir plus d’informations.
A bientôt !