ISO/CEI 27018

On this page… (hide)

1. Définition
2. Les personnes concernées
3. L’obligation d’information

La norme ISO/CEI 27018:2014 concerne la protection des données à caractère personnel dans l’informatique en nuages. Elle a été publiée en août 2014 par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) sous le titre en français : « Technologies de l’information, Techniques de sécurité – Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l’informatique en nuage public agissant comme processeur de PII ».

1. Définition

La norme ISO/CEI 27018:2014 permet d’établir les objectifs de contrôle, les contrôles et les lignes directrices communément acceptés pour la mise en œuvre de mesures de protection des informations personnelles (PII) conformément aux principes de respect de la vie privée de l’ISO/CEI 29100. Elle s’appuie principalement sur les normes :

ISO/CEI 17788 sur le cadre et le vocabulaire du cloud computing, (Information technology – Cloud computing – Overview and Vocabulary). Concrètement, c’est une base de terminologie pour les normes de cloud computing applicable à tous les types d’organisations (par exemple, les entreprises commerciales, agences gouvernementales, organisations à but non lucratif),
ISO/CEI 27002 pour les bonnes pratiques de sécurité de l’information,
ISO/CEI 29100 pour le cadre de protection de la vie privée.

En particulier, l’ISO/CEI 27018:2014 spécifie des directives basées sur l’ISO/CEI 27002, prenant en considération les exigences réglementaires pour la protection des PII qui pourraient être applicables dans le contexte des environnements de sécurité de l’information d’un fournisseur de services publics et des services de cloud computing.

2. Les personnes concernées

ISO/CEI 27018:2014 s’applique à tous les types et tailles d’organisations, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif qui fournissent des services de traitement de l’information en tant que processeurs PII via le cloud computing.

Les lignes directrices de l’ISO/CEI 27018:2014 pourraient également être pertinentes pour les organisations agissant en tant que contrôleurs PII. Cependant, les contrôleurs PII peuvent être soumis à des lois, réglementations et obligations supplémentaires en matière de protection des données personnelles, ne s’appliquant pas aux processeurs PII. L’ISO/CEI 27018 : 2014 n’est pas destinée à couvrir de telles obligations supplémentaires.

3. L’obligation d’information

La norme ISO/CEI 27018 est donc la première norme visant spécifiquement la protection des données personnelles dans le cadre du cloud computing. Bien qu’elle soit dénuée de toute force contraignante, elle prévoit néanmoins un ensemble de bonnes pratiques et de règles devant être respectées par les prestataires ayant accepté de s’y conformer. Quatre lignes directrices sont notamment imposées aux prestataires de cloud computing :

Obligation d’informer les clients du lieu de stockage des données et de sécuriser leur traitement ;
Interdiction d’utiliser les données des clients pour leurs propres finalités ;
Le non-respect des mesures de sécurité peut donner lieu à un rapport sur les incidents et leur résolution, et une notification faite aux clients et aux autorités de contrôle ;
Certification par un établissement accrédité et indépendant (telle que l’Association française de normalisation (AFNOR)).