Valeur de la norme ISO 27701


La norme ISO 27701 est une extension de la norme ISO/IEC 27001 relative à la protection de la vie privée. Cette norme établit des exigences supplémentaires et fournit des orientations pour la protection de la vie privée, potentiellement affectée par le traitement des données personnelles. À mesure que le chevauchement des réglementations en matière de sécurité et de confidentialité s’accroît, la demande de nouvelles méthodes de collaboration, de communication plus efficaces et d’outils communs pour ces deux équipes s’intensifie. L’utilisation de la technologie s’avère indispensable pour la maintenance et l’amélioration continue d’un système de management de la protection de la vie privée (PIMS) conformément à la norme ISO 27701 (anciennement connue sous le nom de « ISO 27552 »), ainsi que pour la planification et la mise en œuvre de lois et de cadres mondiaux sur la vie privée.

Ce que OneTrust peut faire pour vous


OneTrust ISO 27701 Solution

Documentation du PIMS

check

La norme ISO 27701 exige qu’une quantité importante de documentation soit créée, revue, mise à jour et correctement contrôlée pendant le cycle de vie du PIMS. Cette documentation est essentielle à l’efficacité et à l’amélioration continue du PIMS, ainsi qu’à l’obtention et au maintien de la certification. Utilisez le référentiel de documents dans OneTrust pour stocker et organiser la documentation dans un endroit central accessible à l’équipe responsable du PIMS et à d’autres personnes disposant du « besoin d’en connaître ».

Solution OneTrust ISO27701

Formations, tests et attestations en matière de protection de la vie privée

check

La clause 5.5 de la norme ISO 27701 exige que les employés et les sous-traitants soient informés de la politique de confidentialité de l’organisation, de leurs contributions individuelles, de leurs rôles et responsabilités dans le PIMS et des conséquences d’une non-conformité à ces exigences. Les annexes A/B exigent que tous les employés et sous-traitants reçoivent une sensibilisation et une formation à la protection de la vie privée, ainsi que des mises à jour régulières sur les politiques et procédures applicables. Les modèles de formation OneTrust, tels que le modèle « Test d’évaluation et attestation de formation sur la protection de la vie privée et la sécurité », peuvent aider à tester l’efficacité de la formation de sensibilisation, ainsi qu’à répertorier les attestations des employés sur les politiques d’utilisation acceptable ou les documents de responsabilité des employés.

ISO27701 Solutions OneTrust

Audits internes

check

La clause 5.7 exige que vous réalisiez des audits internes du système de management de la sécurité des informations par rapport à la norme ISO/IEC 27701 : 2019 (y compris l’ensemble de la clause 5 et les mesures de contrôle applicables des annexes A et B). De plus, la clause 5.7.3 prévoit des revues de la gestion du PIMS à des intervalles planifiés. Bénéficiez du modèle de la check-list d’audit OneTrust ISO 27701, un questionnaire entièrement personnalisable basé sur la norme ISO 27701, pour vous aider à mener des audits internes ou externes afin d’évaluer la maturité et l’efficacité globale du PIMS et de suivre les plans d’actions correctives. Au terme d’un audit, OneTrust vous permet de générer un rapport présentant une vue d’ensemble de vos réponses, commentaires et pièces jointes.

ISO27701 Solutions OneTrust

Registres des traitements

check

Les annexes A.7.2.8 et B.8.2.6 recommandent aux organisations d’établir quels sont les documents nécessaires à l’appui de leurs obligations de traitement, ainsi que de les tenir à jour et de les préserver. Les organisations doivent créer et tenir à jour un inventaire ou une liste détaillée de tous les traitements des données à caractère personnel qu’elles exécutent. Avec OneTrust, vous pouvez créer et tenir à jour des inventaires des ressources et des fournisseurs de votre organisation, des risques associés à chacun et de leurs responsables au sein de l’organisation. Avec l’automatisation des cartographies des données, collectez des informations sur la finalité, le type et le processus de collecte, d’utilisation, de conservation et de transfert des données personnelles et générez des graphiques et des diagrammes de flux de données comme outils pour faciliter l’analyse et la communication auprès des équipes dirigeantes.

ISO27701 Solutions OneTrust

Évaluation et atténuation des risques

check

La clause 5.4 exige la création d’une méthodologie détaillée d’évaluation des risques comprenant des critères sur l’identification de différents niveaux de risque. La clause 5.6 exige ensuite la mise en œuvre de ces plans. Cette mise en œuvre passe par exemple par le suivi de la méthodologie d’évaluation des risques lors de la réalisation des évaluations des risques, l’établissement de plans d’atténuation des risques et leur suivi jusqu’à leur complétion, le calcul du risque résiduel et la documentation rigoureuse de toutes ces étapes. Utilisez la solution OneTrust d’automatisation des évaluations pour identifier et évaluer les risques encourus par les personnes suite au traitement de leurs données personnelles et pour élaborer et suivre des plans d’atténuation des risques.

ISO27701 Solutions OneTrust

Gestion des fournisseurs, des sous-traitants et des prestataires de services

check

Selon la clause 6.12.1.2, les organisations doivent inclure des conditions spécifiques dans les contrats conclus avec des sous-traitants. La clause 7.2.6 stipule que les contrats entre l’organisation et tout sous-traitant de données à caractère personnel doivent exiger la mise en œuvre de mesures de contrôle appropriées conformément à l’annexe B. La clause 7.5 recommande que les organisations déterminent et documentent la base applicable aux transferts internationaux de données à caractère personnel. Faites appel à OneTrust Vendorpedia, un logiciel de gestion des risques fournisseurs, pour automatiser le cycle de vie de l’engagement des fournisseurs, de l’intégration à la désactivation, afin de faciliter l’obtention et le maintien de la certification ISO 27701.

ISO27701 Solutions OneTrust

Réponse aux incidents et violations de données

check

La clause 6.13.1.1 indique que le processus de gestion des incidents d’une organisation doit comporter les responsabilités et les processus liés à l’identification et à l’enregistrement des violations du traitement des données à caractère personnel. Facilitez le signalement autonome des incidents et des lacunes de sécurité, tenez des registres des incidents et des violations, évaluez-les par rapport aux obligations de notification et analysez le risque global en établissant des liens avec vos registres de données, de traitements, de ressources et de fournisseurs. OneTrust peut être utilisé pour mettre en œuvre des politiques et des procédures de gestion des incidents.

ISO27701 Solutions OneTrust

Gestion des droits des personnes

check

L’annexe A.7.3 précise que les personnes doivent recevoir les informations appropriées sur le traitement de leurs données personnelles. Une organisation doit établir, documenter et respecter ses obligations envers les personnes concernées telles que requises par les exigences légales et commerciales. OneTrust fournit une méthode harmonisée pour les programmes de confidentialité afin de recevoir les demandes et de les gérer dans un système centralisé. OneTrust permet aussi aux organisations d’adapter un formulaire en ligne personnalisé - redirigeant directement vers la politique de confidentialité de votre entreprise - ainsi que la possibilité de recevoir une notification lorsqu’une demande est soumise, de valider l’identité et de faire automatiquement une demande d’extension si besoin.

Consentement et préféences

Gestion du consentement et des préférences utilisateurs

check

Selon la norme ISO 27701, le consentement doit être obtenu, le cas échéant, auprès des personnes concernées et enregistré de manière à ce que les détails, tels que la date à laquelle le consentement a été donné, la preuve de l’identité de la personne et la déclaration de consentement, puissent être fournis sur demande. Bénéficiez de l’outil OneTrust de gestion du consentement pour démontrer la conformité des registres de consentement. OneTrust fournit la plateforme et les instruments nécessaires à la collecte d’un consentement valable, comme l’exige la norme ISO 27701, ainsi que les règlements relatifs à la protection de la vie privée tels que le RGPD, le CCPA et la LGPD.

Onetrust All Rights Reserved