Quel que soit votre secteur d’activité, la confidentialité des données est votre affaire. Cette question ne relève plus uniquement des responsables des données ou des services informatiques, mais concerne désormais toutes les équipes impliquées dans les ressources humaines ou le service client, et plus généralement les effectifs en contact avec des données à caractère personnel.
Avec la multiplication des cyberattaques perpétrées à l’encontre des entreprises, la cybersécurité est une préoccupation grandissante. La question qui se pose alors est de savoir comment les entreprises peuvent gérer les informations privées. Un certain nombre de gouvernements ont récemment introduit de nouvelles réglementations relatives à la vie privée qui imposent aux entreprises de prendre leurs responsabilités, par exemple le Règlement général sur la protection des données (RGPD) en Europe ou le Consumer Privacy Act en Californie. Mais, comment une multinationale telle que Microsoft peut-elle garantir une protection des données sans failles alors que différents pays élaborent chacun leur propre réglementation ?
Récemment publiée, la norme ISO/IEC 27701, Techniques de sécurité – Extension d’ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée – Exigences et lignes directrices, aide les entreprises à gérer les risques concernant les informations d’identification personnelle. Elle peut également leur permettre de se conformer au RGPD, ainsi qu’à d’autres réglementations de protection des données.
Élaborée dans le cadre d’un partenariat entre l’ISO et l’IEC (Commission électrotechnique internationale), il s’agit de la première norme relative à la protection de la vie privée d’envergure mondiale. Jason Matusow, Directeur général du Groupe de la normalisation d’entreprise chez Microsoft, nous fait part des toutes dernières informations sur cette norme révolutionnaire.
ISOfocus : ISO/IEC 27701 est la première norme relative aux systèmes de management de la protection de la vie privée (PIMS). Pouvez-vous nous en dire plus sur cette norme ? Pourquoi est-elle si innovante ?
Jason Matusow : La première chose que je tiens à préciser sur ISO/IEC 27701 est qu’il s’agit d’un moyen simple et efficace d’aborder l’enjeu de la généralisation de pratiques cohérentes de traitement des données au sein d’une organisation. Même si la cybersécurité et la confidentialité sont liées, elles sont encore aujourd’hui traitées séparément dans bon nombre d’entreprises. Je souhaite complimenter les experts qui ont élaboré ISO/IEC 27701, car c’est une façon intelligente de relier normalisation et monde de la cybersécurité par le biais de la série ISO/IEC 27000 relative aux systèmes de management de la sécurité de l’information. Chaque année, des milliers d’entreprises sont déjà auditées par rapport aux normes de cette série. En superposant un PIMS à cette structure, les équipes d’une organisation chargées de la cybersécurité peuvent travailler avec celles en charge de la protection de la vie privée pour établir des pratiques de traitement des données qui couvrent à la fois sécurité et confidentialité.
Les PIMS tiennent compte de la nécessité d’envisager la protection des données de manière holistique. À l’instar de nombreuses autres législations sur la vie privée existant dans le monde, le RGPD impose aux entreprises de nommer un Délégué à la protection des données, dont l’un des plus grands défis consiste à identifier comment créer une documentation fiable, autrement dit, comment travailler à l’échelle de l’organisation pour démontrer que sa façon de traiter les données est correcte. Un processus PIMS permet de mettre en œuvre des opérations plus globales en matière de vie privée, puis de créer une documentation et d’encourager des comportements qui représenteront l’organisation hors de ses murs.
En matière de protection des données, la dynamique qui prévaut est l’attention extrême accordée aux organismes de réglementation. Mais, les activités des entreprises s’appuient essentiellement sur des relations interentreprises, c’est-à-dire sur des contrats. La chaîne d’approvisionnement de Microsoft compte des milliers de fournisseurs, et nous faisons nous-mêmes partie des fournisseurs de milliers de clients. On peut donc légitimement s’interroger sur l’adoption de comportements adéquats en termes de traitement des données de bout en bout d’une chaîne d’approvisionnement. Avec un PIMS, il devient possible de faire la preuve que des comportements sont adéquats. La confiance est affaire de vérification, et la vérification se fonde sur les bonnes pratiques en matière de PIMS.
Cette nouvelle norme peut-elle aider les entreprises à se conformer au RGPD ou au Consumer Privacy Act californien, par exemple ?
À ce jour, aucune norme ne représente formellement la conformité légale en matière de protection de la vie privée. En Europe, les entreprises, Microsoft compris, ont donc toute latitude pour interpréter la réglementation. La nouvelle norme n’établit pas de parcours à suivre pour atteindre la conformité légale, cela n’existe pas encore. Elle définit des pratiques solides et ce qu’est un traitement adéquat des données, en établissant des comportements responsables, qui sont documentés, reproductibles et améliorables au fil du temps. En effet, un aspect important d’un système de management du traitement des données est d’assurer son amélioration continue.
À noter qu’il n’existe pas qu’une seule loi sur la protection de la vie privée, mais peut-être plus d’une trentaine, parmi lesquelles le RGPD, le Consumer Privacy Act de Californie, les législations en vigueur en Australie et au Japon, etc. L’une des raisons qui rendent les PIMS si intéressants, c’est qu’ils représentent un ensemble cohérent de pratiques de protection de la vie privée (c’est-à-dire, des moyens de contrôle) pouvant être mises en correspondance avec n’importe quelle législation en la matière.
La technologie change constamment et les entreprises doivent s’y adapter. Pensez-vous qu’ISO/IEC 27701 sera toujours utile dans quelques années ?
Avec l’évolution permanente des technologies, impossible de dire : « nous avons trouvé une solution, restons sur nos acquis ». Cela ne fonctionne tout simplement pas ainsi. Tous les secteurs d’activité mutent et se transforment tous les jours. Une norme telle qu’ISO/IEC 27701 donne naissance à une opportunité, celle d’adopter une méthode cohérente tout en restant suffisamment souple pour s’adapter aux changements sous-jacents.
Une notion importante à maîtriser est l’évaluation de l’impact sur la vie privée, un processus systématique qui permet d’évaluer les effets potentiels de votre système sur la confidentialité. Même si ce n’est pas l’une des finalités d’ISO/IEC 27701, cette norme comporte bel et bien une exigence de définition d’un champ d’application, par laquelle une entreprise doit mesurer l’impact de ses pratiques de traitement des données dans un contexte donné. Elle fournit ainsi une série de moyens de contrôle cohérents avec la législation, qu’il s’agisse du RGPD ou des lois relatives à la protection de la vie privée en vigueur en Australie, au Japon ou en Californie, et permettant de contrecarrer cet impact. En associant tous ces éléments, il est possible d’atteindre des sommets en matière de pratiques responsables. Plus qu’une destination, il s’agit d’un cheminement.
Quels sont les enjeux pour Microsoft ? Pourquoi soutenez-vous cette norme avec autant de ferveur ?
Notre réflexion a débuté avant tout aux côtés de nos clients. Concrètement, cette norme donne les moyens à tous ceux qui travaillent dans le domaine des services Cloud et qui utilisent nos technologies d’unir leurs forces avec Microsoft, en avançant ensemble et en formulant collectivement des bonnes pratiques de management des données. ISO/IEC 27701 joue un rôle de pivot entre les organisations, pour les aider à établir des échanges harmonisés, ainsi qu’un rôle stratégique dans le dialogue que vous pouvez établir avec les organismes de réglementation, tout en étant également véritablement axée sur les relations interentreprises.
Les PIMS étant de précieuses ressources pour l’utilisation des technologies de l’information au sein d’une entreprise, notre principal intérêt est d’adopter la méthode solide de protection de la vie privée dont nos clients ont besoin. Puis, il y a aussi les comportements… Je dirais que nos activités relatives à la protection de la vie privée vont à certains égards bien au-delà du processus de mise en conformité de notre PIMS. C’est un point sur lequel nous nous sommes engagés, et ISO/IEC 27701 fait partie intégrante de notre processus d’audit.
Microsoft a étendu les exigences du RGPD à tous les citoyens du monde qui utilisent ses technologies. Si nous nous donnons pour but de réaliser les principaux travaux d’ingénierie et d’améliorer de manière continue nos systèmes pour qu’ils respectent la confidentialité des données des utilisateurs, nous nous devons d’opter pour une approche constructive et holistique. Notre PIMS s’ajoutera à cela afin d’inscrire nos pratiques existantes dans le cadre d’un audit par un tiers.
Quelles sont les implications pour une entreprise qui adopte ISO/IEC 27701 ? Pouvez-vous nous en dire plus à ce sujet ?
Comme je le mentionnais un peu plus tôt, cette norme s’appuie sur la série ISO/IEC 27000. La mise en œuvre d’un PIMS suppose donc d’emprunter cette voie holistique et d’accepter qu’elle nécessite la mise en place d’un système de management de la sécurité de l’information, qui pourra être ultérieurement étendu à la protection de la vie privée. Ainsi, les entreprises sont censées étudier leurs systèmes et processus, puis mettre en œuvre des moyens de contrôle. Considérez un moyen de contrôle comme un comportement normatif que vous vous engagez à respecter. Au fil du temps, il se convertira en comportement reproductible que vous pourrez dès lors documenter.
Cette mission échoit au Délégué à la protection des données, dont la responsabilité première est de s’assurer que l’entreprise respecte ses évaluations d’impact. Néanmoins, les grandes entreprises feront certainement appel à un organisme de conformité externe pour les aider à faire le point sur tous les systèmes dont elles ont besoin. Pour résumer, les moyens de contrôle que vous mettez en place devraient couvrir l’intégralité du processus, de la collecte des données à leur utilisation et à leur élimination, en passant par vos pratiques de gestion des violations de données, votre manière d’en informer vos clients et tout élément important dans ce domaine.
En ce qui concerne la normalisation, que l’avenir réserve-t-il à Microsoft ?
Je vais répondre en deux temps. Tout d’abord, la normalisation n’est pas quelque chose d’uniforme. D’une part, il y a des spécifications techniques comme le Bluetooth, le Wi-Fi ou les autres protocoles du même ordre. Ces spécifications sont mises en œuvre par les groupes de produits de Microsoft en fonction des besoins. Dans ce domaine, l’un des aspects les plus intéressants ayant émergé au cours des cinq dernières années est la croissance massive des logiciels Open Source. La façon dont les gens résolvent les problèmes de collaboration ne s’inscrit pas nécessairement dans le contexte traditionnel de la normalisation, mais par le biais d’efforts de développement collaboratifs dans un contexte Open Source. Cela ne veut pas dire que la normalisation perd du terrain, mais que le paysage évolue considérablement.
En ce qui concerne les Normes internationales élaborées par l’ISO et ses organisations partenaires, l’IEC et l’UIT (Union internationale des télécommunications), je pense que ce qui intéresse réellement le public, cʼest la croissance de la réglementation et le rôle de « législation non contraignante » que joue la normalisation vis-à-vis de la réglementation. Où un PIMS se situe-t-il entre les lois existantes et les comportements au sein d’une organisation ? Il faut un intermédiaire, et la normalisation peut faire ce lien en occupant une position centrale. La normalisation est particulièrement utile pour gérer la diffusion des approches réglementaires, par exemple en mettant en correspondance le RGPD et les lois relatives à la protection de la vie privée en vigueur en Australie. ISO/IEC 27701 a donc vocation à jouer un rôle extrêmement important, celui de « déchiffreur » des différentes approches réglementaires. C’est un pouvoir considérable !