ISO/IEC 27701:2019 : Gestion des informations de confidentialité

Article
04/04/2023

Vue d’ensemble d’ISO/IEC 27701:2019

ISO/IEC 27701:2019 est conçu pour compléter les normes ISO/IEC 27001 et ISO/IEC 27002 largement utilisées pour la gestion de la sécurité des informations. Il spécifie les exigences et fournit des conseils pour un système de gestion des informations de confidentialité (PIMS), ce qui rend l’implémentation de PIMS utile pour les nombreuses organisations qui s’appuient sur ISO/IEC 27001, ainsi que la création d’un point d’intégration solide pour l’alignement des contrôles de sécurité et de confidentialité. ISO/IEC 27701 effectue cette intégration par le biais d’un framework de gestion des données personnelles qui peut être utilisé par les contrôleurs de données et les processeurs de données, une distinction clé pour la conformité au Règlement général sur la protection des données (RGPD).

En outre, tout audit ISO/CEI 27701 exige que l’organisation déclare les lois/réglementations applicables dans ses critères pour l’audit, ce qui signifie que la norme peut être mappée à de nombreuses exigences en vertu du RGPD, de la Loi sur la confidentialité des consommateurs de Californie (CCPA) ou d’autres lois. Une fois mappés, les contrôles opérationnels ISO/IEC 27701 sont implémentés par des professionnels de la confidentialité. Un tiers interne ou externe, qui est accrédité pour évaluer, évalue ensuite la conformité de l’organisation aux exigences de la norme et émet un certificat à cet effet. Ce framework universel permet aux organisations d’implémenter efficacement la conformité aux nouvelles exigences réglementaires. Microsoft parraine le projet de mappage de protection des données open source pour apporter une compréhension commune de la relation entre ISO/IEC 27701 et diverses réglementations de protection des données.

Services de plateformes & cloud microsoft dans l’étendue

Microsoft services en ligne dans l’étendue sont affichés sur le certificat Azure ISO/IEC 27701 :

Azure (pour obtenir des informations détaillées, consultez l’offre Azure ISO/IEC 27701)
Dynamics 365 (pour obtenir des informations détaillées, consultez l’offre Azure ISO/IEC 27701)
Microsoft 365 Defender (non inclus dans l’étendue de Azure Government)
Microsoft Bing pour Commerce (non inclus dans l’étendue de Azure Government)
Microsoft Defender for Cloud Apps
Microsoft Defender pour point de terminaison
Microsoft Graph
Microsoft Intune
Microsoft Managed Desktop (non inclus dans Azure Government)
Microsoft Stream
Spécialistes des menaces Microsoft(non inclus dans Azure Government)
Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense
Power Apps
Power Automate
Power BI
Power BI intégré
Power Virtual Agents (non inclus dans Azure Government)
Impression universelle (non inclus dans l’étendue de Azure Government)
Windows 365

Azure, Dynamics 365 et ISO 27701

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure ISO 27701:2019.

Office 365 and ISO 27001

environnements Office 365

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section décrit les environnements Office 365 suivants :

Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité	Les Services dans l’étendue
Commerciale	Access Online, Azure Active Directory, Azure Communications Service, Gestionnaire de conformité, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics , Conformité avancée Office 365 module complémentaire, Office 365 portail client, Office 365 microservices (notamment Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), sécurité & Office 365 Centre de conformité, Office Online, Office Pro Plus, Infrastructure des services Office, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, Project Online, Chiffrement de service avec clé client Microsoft Purview, SharePoint Online, Skype Entreprise, Stream
GCC	Azure Active Directory, Azure Communications Service, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 & Security Compliance Center, Office Online, Office Pro Plus, OneDrive Entreprise, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream
GCC High	Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 module complémentaire, Office 365 & Security Compliance Center, Office En ligne, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise
DOD	Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 module complémentaire, Office 365 & Security Compliance Center, Office En ligne, Office Pro Plus, OneDrive Entreprise, Planificateur, Power BI, SharePoint Online, Skype Entreprise

Audits, rapports et certificats Office 365

Les services de support technique cloud et commercial Microsoft sont audités une fois par an pour le processus de certification ISO/IEC 27701.

Microsoft Office 365 rapport d’évaluation complète ISO

Questions fréquemment posées

Comment la norme ISO/IEC 27701 contribue-t-elle à l’évolution des exigences réglementaires ?

La norme ISO/IEC 27701 inclut une annexe contenant les contrôles opérationnels de la norme qui sont mappés avec les exigences appropriées du GDPR pour les contrôleurs et les processeurs. Ce mappage n’est qu’un exemple de la façon dont les réglementations de confidentialité peuvent être implémentées par rapport à l’infrastructure ISO. Au fur et à mesure que des mappages avec d’autres réglementations deviennent disponibles et sont validés, les contrôles opérationnels de la norme peuvent être transférés directement de l’examen réglementaire à la mise en œuvre. Ce framework universel permet aux organisations d’implémenter de manière fiable les exigences réglementaires pertinentes.

Comment ISO/IEC 27701 contribue-t-il aux coûts d’audit ?

Au fur et à mesure de l’application de réglementations en matière de protection de la vie privée dans plusieurs juridictions, les pressions pour fournir des preuves de conformité peuventt également augmenter. Mais les coûts des certifications réglementaires disparates deviennent prohibitifs si chaque réglementation exige son propre audit unique. En décrivant un ensemble de contrôles opérationnels universels, ISO/IEC 27701 décrit également un cadre de conformité universel à auditer et potentiellement certifier pour plusieurs exigences réglementaires.

Il est important de reconnaître que l’établissement d’une certification RGPD officielle requiert l’approbation des régulateurs européens. Bien que l’alignement entre ISO/CEI 27701 et RGPD soit évident, une certification ISO/CEI 27701 ne doit pas être considérée comme une preuve de la conformité au RGPD ou de la certification RGPD officielle tant que les décisions réglementaires ne sont pas finalisées.

Comment la norme ISO/IEC 27701 facilite-t-elle les accords commerciaux impliquant l’IIP ?

Les accords commerciaux impliquant le déplacement de renseignements personnels peuvent justifier l’attestation de conformité. Les organisations modernes opèrent dans le cadre de transferts de données complexes auprès d’un réseau de partenaires commerciaux, notamment d’organisations de partenaires, de co-contrôleurs, de processeurs tels que des fournisseurs Cloud et de sous-processeurs, tels que les fournisseurs qui prennent en charge ces mêmes processeurs. Le non-respect des réglementations dans une partie de ce réseau peut entraîner des problèmes de conformité en cascade dans la chaîne d’approvisionnement. Il s’agit de l’endroit où une vérification de la conformité peut être précieuse au-delà des conditions contractuelles entre ces organisations. Étant donné que l’économie mondiale exige que la plupart de ces organisations soient réparties dans le monde entier, il est pratique d’utiliser une norme internationale iso pour gérer la conformité sur le réseau.

Cette dépendance à l'égard de la conformité accroît l'importance de la certification à la norme. Bien que toutes les entreprises et organisations n’aient pas besoin d’obtenir une telle certification, la plupart d’entre elles en bénéficient grâce à des partenaires et fournisseurs, notamment lorsque des volumes sensibles ou élevés sont concernés par le traitement des données.

Comment ISO/IEC 27701 est-il lié à ISO/IEC 27001 ?

ISO/IEC 27701 s’appuie sur ISO/IEC 27001, l’une des normes internationales les plus largement adoptées pour la gestion de la sécurité des informations. Si votre organisation connaît déjà iso/IEC 27001, il est logique et plus efficace d’intégrer les nouveaux contrôles de confidentialité fournis par ISO/IEC 27701. Cette approche signifie que l’implémentation et l’audit des deux seront moins coûteux et plus faciles à réaliser. Points clés d’ISO/IEC 27701 et ISO/IEC 27001 :

La norme ISO/IEC 27001 est l’une des normes ISO les plus utilisées au monde, avec de nombreuses entreprises déjà certifiées.
ISO/IEC 27701 inclut de nouveaux contrôles spécifiques au contrôleur et au processeur qui permettent de combler l’écart entre la confidentialité et la sécurité. Il fournit un point d’intégration entre ce qui peut être deux fonctions distinctes dans les organisations.
La confidentialité dépend de la sécurité. De même, ISO/IEC 27701 dépend de la norme ISO/IEC 27001 pour la gestion de la sécurité. La certification ISO/IEC 27701 doit être obtenue en tant qu’extension d’une certification ISO/IEC 27001 et ne peut pas être obtenue indépendamment.

Que doit faire votre organisation avec ISO/IEC 27701 ?

Quelle que soit la taille de votre organisation et qu’il s’agisse d’un contrôleur ou d’un processeur, votre organisation doit envisager de poursuivre la certification, soit pour votre propre organisation, soit de la demander à des fournisseurs ou des fournisseurs en fonction de vos besoins métier. Cette situation s’applique en particulier aux processeurs, sous-processeurs et co-contrôleurs qui traitent des volumes sensibles ou élevés de données personnelles. Votre organisation doit évaluer ses besoins métier pour déterminer si la certification de ses propres produits et services est appropriée.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité du portail de conformité Microsoft Purview pour vous aider à comprendre la posture de conformité de votre organisation et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.