ISO/IEC 27701 :2019 : Gestion des informations de confidentialité

Vue d’ensemble de la norme ISO/IEC 27701 :2019

ISO/IEC 27701 :2019 est conçu pour compléter les normes ISO/IEC 27001 et ISO/IEC 27002 largement utilisées pour la gestion de la sécurité de l’information. Il spécifie les exigences et fournit des conseils pour un système de gestion des informations de confidentialité (PIMS), ce qui fait de l’implémentation de PIMS un ajout de conformité utile pour les nombreuses organisations qui s’appuient sur ISO/IEC 27001, ainsi que la création d’un point d’intégration fort pour aligner les contrôles de sécurité et de confidentialité. ISO/IEC 27701 accomplit cette intégration par le biais d’un cadre de gestion des données personnelles qui peut être utilisé à la fois par les contrôleurs de données et les processeurs de données, une distinction clé pour la conformité au Règlement général sur la protection des données (RGPD).

En outre, tout audit ISO/IEC 27701 exige que l’organization déclare les lois/réglementations applicables dans ses critères d’audit, ce qui signifie que la norme peut être mappée à la plupart des exigences du RGPD, du California Consumer Privacy Act (CCPA) ou d’autres lois. Une fois mappés, les contrôles opérationnels ISO/IEC 27701 sont implémentés par les professionnels de la confidentialité. Un tiers interne ou externe, qui est accrédité pour évaluer, évalue ensuite la conformité du organization aux exigences de la norme et émet un certificat à cet effet. Ce framework universel permet aux organisations d’implémenter efficacement la conformité aux nouvelles exigences réglementaires. Microsoft parraine le projet open source de cartographie de la protection des données pour apporter une compréhension commune de la relation entre la norme ISO/IEC 27701 et les diverses réglementations en matière de protection des données.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

Microsoft services en ligne dans l’étendue sont indiqués sur le certificat Azure ISO/IEC 27701 :

  • Azure (pour obtenir des informations détaillées, consultez l’offre Azure ISO/IEC 27701)
  • Dynamics 365 (pour obtenir des informations détaillées, consultez l’offre Azure ISO/IEC 27701)
  • Microsoft Defender XDR (non dans l’étendue de Azure Government)
  • Microsoft Bing pour Commerce (non dans l’étendue de Azure Government)
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender pour point de terminaison
  • Microsoft Graph
  • Microsoft Intune
  • Microsoft Managed Desktop (non inclus dans Azure Government)
  • Microsoft Stream
  • Spécialistes des menaces Microsoft(non inclus dans Azure Government)
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense
  • Power Apps
  • Power Automate
  • Power BI
  • Power BI intégré
  • Power Virtual Agents (non inclus dans Azure Government)
  • Impression universelle (non dans l’étendue de Azure Government)
  • Windows 365

Azure, Dynamics 365 et ISO 27701

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure ISO 27701 :2019.

Office 365 and ISO 27001

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 portail client, Office 365 microservices (y compris, mais sans s’y limiter, Kaizala, ObjectStore, Sway, Service de document PowerPoint Online, Service d’annotation de requête, School Data Sync, Siphon, Speech, StaffHub, programme d’application eXtensible), Office 365 Centre de sécurité & conformité, Office Online, Office Pro Plus, Infrastructure des services Office, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, Project Online, Chiffrement de service avec la clé client Microsoft Purview, SharePoint Online, Skype Entreprise, Stream
GCC ID Microsoft Entra, Azure Communications Service, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Centre de conformité Office 365 sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream
GCC High ID Microsoft Entra, Azure Communications Service, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 module complémentaire, Office 365 Centre de conformité sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise
DOD ID Microsoft Entra, Azure Communications Service, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 module complémentaire, Office 365 Centre de conformité & sécurité, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, Power BI, SharePoint Online, Skype Entreprise

Audits, rapports et certificats Office 365

Les services de support technique microsoft cloud et commercial sont audités une fois par an pour le processus de certification iso/IEC 27701.

Forum aux questions

Comment la norme ISO/IEC 27701 contribue-t-elle à l’évolution des exigences réglementaires ?

La norme ISO/IEC 27701 inclut une annexe contenant les contrôles opérationnels de la norme qui sont mappés avec les exigences appropriées du GDPR pour les contrôleurs et les processeurs. Ce mappage n’est qu’un exemple de la façon dont les réglementations de confidentialité peuvent être implémentées par rapport au framework ISO. Au fur et à mesure que des mappages avec d’autres réglementations deviennent disponibles et sont validés, les contrôles opérationnels de la norme peuvent être transférés directement de l’examen réglementaire à la mise en œuvre. Ce framework universel permet aux organisations d’implémenter de manière fiable les exigences réglementaires pertinentes.

Comment la norme ISO/IEC 27701 aide-t-elle à auditer les coûts ?

Au fur et à mesure de l’application de réglementations en matière de protection de la vie privée dans plusieurs juridictions, les pressions pour fournir des preuves de conformité peuventt également augmenter. Mais les coûts des certifications réglementaires disparates deviennent prohibitifs si chaque réglementation exige son propre audit unique. En décrivant un ensemble de contrôles opérationnels universels, ISO/IEC 27701 décrit également un cadre de conformité universel pour auditer et éventuellement certifier pour plusieurs exigences réglementaires.

Il est important de reconnaître que l’établissement d’une certification RGPD officielle nécessite l’approbation des régulateurs européens. Bien que l’alignement entre la norme ISO/IEC 27701 et le RGPD soit évident, une certification ISO/IEC 27701 ne doit pas être considérée comme une preuve de conformité au RGPD ou de certification officielle au RGPD tant que les décisions réglementaires ne sont pas finalisées.

Comment la norme ISO/IEC 27701 aide-t-elle à conclure des accords commerciaux impliquant des informations d’identification personnelle ?

Les accords commerciaux impliquant le déplacement d’informations personnelles peuvent justifier une certification de conformité. Les organisations modernes opèrent dans le cadre de transferts de données complexes auprès d’un réseau de partenaires commerciaux, notamment d’organisations de partenaires, de co-contrôleurs, de processeurs tels que des fournisseurs Cloud et de sous-processeurs, tels que les fournisseurs qui prennent en charge ces mêmes processeurs. Le non-respect des réglementations dans une partie de ce réseau peut entraîner des problèmes de conformité en cascade dans la chaîne d’approvisionnement. Il s’agit de l’endroit où une vérification de la conformité peut être précieuse au-delà des conditions contractuelles entre ces organisations. Étant donné que l’économie mondiale impose que la plupart de ces organisations soient réparties dans le monde entier, il est pratique d’utiliser une norme internationale de l’ISO pour gérer la conformité sur l’ensemble du réseau.

Cette dépendance à l'égard de la conformité accroît l'importance de la certification à la norme. Bien que toutes les entreprises et organisations n’aient pas besoin d’obtenir une telle certification, la plupart d’entre elles en bénéficient grâce à des partenaires et fournisseurs, notamment lorsque des volumes sensibles ou élevés sont concernés par le traitement des données.

Quelle est la relation entre ISO/IEC 27701 et ISO/IEC 27001 ?

ISO/IEC 27701 s’appuie sur la norme ISO/IEC 27001, l’une des normes internationales les plus largement adoptées pour la gestion de la sécurité de l’information. Si votre organization est déjà familiarisé avec la norme ISO/IEC 27001, il est logique et plus efficace d’intégrer les nouveaux contrôles de confidentialité fournis par la norme ISO/IEC 27701. Cette approche signifie que l’implémentation et l’audit des deux seront moins coûteux et plus faciles à réaliser. Points clés des normes ISO/IEC 27701 et ISO/IEC 27001 :

  • La norme ISO/IEC 27001 est l’une des normes ISO les plus utilisées au monde, avec de nombreuses entreprises déjà certifiées.
  • ISO/IEC 27701 inclut de nouveaux contrôles spécifiques au contrôleur et au processeur qui aident à combler le fossé entre confidentialité et sécurité. Il fournit un point d’intégration entre ce qui peut être deux fonctions distinctes dans les organisations.
  • La confidentialité dépend de la sécurité. De même, ISO/IEC 27701 dépend de la norme ISO/IEC 27001 pour la gestion de la sécurité. La certification ISO/IEC 27701 doit être obtenue en tant qu’extension d’une certification ISO/IEC 27001 et ne peut pas être obtenue indépendamment.

Que doit faire votre organization avec la norme ISO/IEC 27701 ?

Quelle que soit la taille de votre organization et qu’il s’agisse d’un contrôleur ou d’un processeur, votre organization doit envisager d’obtenir une certification, soit pour votre propre organization, soit de la demander à des fournisseurs ou des fournisseurs en fonction des besoins de votre entreprise. Cette situation s’applique en particulier aux processeurs, sous-traitants et co-contrôleurs qui traitent des volumes sensibles ou élevés de données personnelles. Votre organization doit évaluer ses besoins métier afin de déterminer si la certification de ses propres produits et services est appropriée.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité du portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources