Qu'est-ce que le RGPD?
Le Règlement Général sur la Protection des Données (RGPD) est le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Il est entré en application le 25 mai 2018 et concerne tous les organismes qui traitent des données personnelles, c’est-à-dire la quasi-totalité des organismes publics et privés par le biais notamment des activités liées aux ressources humaines (recrutement, paye, …) et à la prospection commerciale qui impliquent des traitements de données personnelles.
Quelles sont les exigences du RGPD?
Au travers d’une quarantaine d’articles, le RGPD définit des obligations techniques, éthiques et juridiques pour les organismes qui traitent des données personnelles pour leur propre compte (responsables de traitement) ou pour le compte d’autres organismes (sous-traitants) afin de renforcer la protection des données et des individus : nomination d’un délégué à la protection des données, sécurité des données, transparence sur les traitements, exercice des droits des personnes, notification en cas de violation, …
Comme tous les règlements le RGPD s’applique de facto dans tous les pays européens et ne nécessite pas de loi de transposition pour préciser ses modalités d’application à la différence d’une directive (par exemple la Directive NIS). Il convient cependant en France lorsqu’on organise sa mise en conformité au RGPD au sein de son organisme de considérer également la loi Informatique et Liberté qui apporte des compléments au RGPD sur des points spécifiques.
Le RGPD et les principaux référentiels d'application basés sur des normes
Depuis la mise en application du RGPD en 2018, de nombreux guides et textes de référence ont été publiés par les autorités de contrôles et par divers acteurs pour aider les organismes à opérer leur mise en conformité.
En particulier, les organismes de normalisation qui rassemblent divers experts du domaine de la protection des données parmi lesquels des représentants des autorités de contrôle se sont réunis pour élaborer la norme internationale ISO 27701. Cette norme publiée en 2019 définit comment organiser la mise en conformité aux diverses règlementations et législations en lien avec la protection des données personnelles qui s’appliquent au sein d’un organisme. Elle répond aux enjeux du RGPD sans lui être spécifique puisqu’elle peut s’adapter à toutes les règlementations internationales en matière de protection de la vie privée. Elle décrit un système de management avec amélioration continue qui permet de maintenir sa conformité au cours du temps et est structurée autour d’un socle ISO 27001 pour assurer la sécurité des données en fonction des risques qui pèsent sur les données.
En complément des travaux normatifs internationaux, les organismes européens de normalisation ont publié en 2024 la norme européenne EN 17926 qui se base sur l’ISO 27701 en affinant et précisant certaines de ses exigences (gestion des incidents, réalisation de PIA, transferts, …) pour qu’elles soient spécifiques au RGPD, rendant possible la reconnaissance de la certification EN 17926 par les autorités de contrôle européennes (dont la CNIL) au titre de l’article 42 du RGPD.
Parallèlement au développement des normes volontaires ISO 27701 et EN 17926, la France est allée plus loin dans le domaine de la santé en rendant obligatoire par décret en 2018 la certification HDS pour les prestataires d’hébergement de données de santé à caractère personnel qui hébergent notamment les données des hôpitaux. Le référentiel d’exigences développé par l’Agence du Numérique en Santé (ANS) est proche de la norme ISO 27701 et se base lui aussi sur un socle ISO 27001 pour la sécurité des données.
Le Guide de sécurité de la CNIL
Les normes ISO 27701, EN 17926 et les autres textes de référence et autres guides en lien avec le RGPD sont assez similaires sur les mesures juridiques à mettre en œuvre. Ils divergent par contre sur la partie sécurité. Les normes ISO 27701, EN 17926 et le référentiel HDS se base sur la norme ISO 27001 pour organiser la sécurité des données, ce qui n’est pas forcément à la portée des petites structures. Cependant le RGPD n’impose pas de méthode particulière pour assurer la sécurité des données et laisse la possibilité à chaque organisme de choisir sa méthode.
Des guides en lien avec la sécurité des données ont été publiés par les autorités pour les organismes aux moyens limités. Ces guides listent des mesures à mettre en œuvre sans formalisation excessive ou système de gouvernance lourd.
Comparaison des référentiels ISO 27701, EN 17926, HDS et du Guide de la CNIL
ISO 27701 et EN 17926
Normes d'application volontaire
Possibilité de se faire certifier
Convient à tous les secteurs d'activités
Requiert d'appliquer l'ISO 27001 pour la partie sécurité
Peut être difficile à mettre en oeuvre pour les petites structures
HDS
Référentiel d'application obligatoire
Référentiel lié à une certification
Applicable uniquement aux prestataires d'hébergement de données de santé
Requiert d'appliquer l'ISO 27001 pour la partie sécurité
Peut être difficile à mettre en oeuvre pour les petites structures
Guide Sécurité de la CNIL
Guide d'application volontaire
Guide non-lié à une certification
Convient à tous les secteurs d'activités
Ne requiert pas d'appliquer l'ISO 27001 pour la partie sécurité
Guide adapté aux structures de toutes tailles
Notre accompagnement
Cyber-Manager vous accompagne pour tout ou partie de votre mise en conformité au RGPD: audit avec plan d’action, accompagnement à la mise en œuvre, DPO externalisé,…
Vous avez la possibilité de choisir le texte de référence que vous souhaitez mettre en œuvre pour assurer la sécurité des données en fonction de vos moyens humains et financiers et de vos aspirations à être certifié : guide sécurité de la CNIL, norme ISO 27701,…