Émission des directives du préposé pour la certification d'organisations

Selon l’Ordonnance sur les certifications en matière de protection des données (OCPD), le préposé est chargé d'édicter des directives sur les exigences minimales qu'un système de gestion de protection des données doit remplir. Pour cela, il tient compte des normes internationales relatives aux systèmes de gestion, en particulier d’ISO/CEI 27001:2005. Ces directives incorporent l’essentiel de la norme 27001 en se focalisant clairement sur la protection des données, tout en s'appuyant sur un guide d’implémentation annexe. Cette brochure annexe, structurée selon neuf principes généraux de la LPD et comprenant actuellement une vingtaine de mesures concrètes, est le pendant pour la protection des données de la norme 27002 (code de pratique pour la sécurité de l'information), associée à la norme 27001.

Suite à l’introduction du nouvel article 11 LPD concernant la procédure de certification, l’ordonnance sur les certifications en matière de protection des données (OCPD) est entrée en vigueur au 1er janvier 2008. Selon l’art. 4 al. 3 OCPD (Certification de l’organisation et de la procédure), «le préposé émet des directives sur les exigences minimales qu’un système de gestion de la protection des données (SGPD) doit remplir. Il tient compte des normes internationales relatives à l’installation, l’exploitation, la surveillance et l’amélioration de systèmes de gestion, dont en particulier les normes ISO 9001:2000 et ISO 27001:2005.»

Pour ce faire, une première étape consiste à reprendre d’ISO 27001 les exigences génériques pour les systèmes de gestion, elles-mêmes issues de celles fondamentales d’ISO 9001 pour la gestion de la qualité, comme en témoigne l’annexe informative C d’ISO 27001. La difficulté majeure a consisté à mettre l’accent sur la protection des données, plutôt que sur la seule sécurité de l’information. Par le biais de l’art. 7 qui couvre les exigences de sécurité des données imposées par la LPD, on peut fort heureusement considérer la protection des données comme un objectif global remplaçant par extension celui de la sécurité de l’information visé par ISO 27001. On vise ainsi l’établissement d’un système de gestion de la protection des données (SGPD), qui prescrit entre autres une politique du système de gestion de la protection des données, une sélection de mesures pour le traitement des non-conformités, une déclaration d’applicabilité des mesures implémentées avec justification de celles qui auraient été exclues, un plan de traitement des non-conformités, une revue des violations ou incidents de protection des données et des actions correctives ou préventives pour améliorer le SGPD.

Dans un second temps, il s’est agi de reprendre l’annexe normative A d’ISO 27001 qui est en fait constituée de la table des matières de la norme ISO/CEI 27002:2005 plus connue sous le nom de «Code de pratique pour la gestion de la sécurité d’information». Celui-ci comprend 15 chapitres, dont les 11 derniers forment des «groupes de contrôle», eux-mêmes subdivisés en 39 «objectifs» conduisant à un total de 133 «mesures de contrôle». L’accent sur la protection des données est ici évident, étant donné la mesure 15.1.4 qui porte sur la «Protection des données et confidentialité des informations relatives à la vie privée» et qui prescrit en substance que «celles-ci doivent être garanties telles que l’exigent la législation, les règlementations applicables, et les clauses contractuelles le cas échéant».

Dans l’optique d’une certification d’organisation ou de procédure de protection des données, cette seule mesure très générale doit à l’évidence être détaillée et subdivisée en objectifs, eux-mêmes réalisables par des mesures concrètes de protection. Ceci est actuellement prévu dans le cadre d’un «Guide d’implémentation» ou encore «Code de pratique pour la gestion de la protection des données», annexé aux «Directives sur les exigences minimales qu’un SGPD doit remplir». À l’instar de l’OCDE et d’autres pays tels l’Australie, le Canada et la Grande-Bretagne, nous avons retenu «9 principes généraux de la loi sur la protection des données» comme objectifs essentiels de ce «Guide d’implémentation des directives pour SGPD». Ces objectifs se traduisent à l’heure actuelle par 20 mesures concrètes de protection des données, reprenant de manière non exhaustive les principales exigences issues de la loi ou de son ordonnance d’application. Afin de faciliter la lecture et la compréhension de cette annexe, chaque mesure est structurée conformément au standard ISO 27002, dont elle constitue une extension spécifique pour la protection des données. De même que la mesure 15.1.4 renvoie les SGSI aux SGPD, le 7ème objectif «Sécurité des données» avec ses mesures associées n’est rien d’autre que le renvoi des SGPD aux SGSI. Parmi les 133 mesures de sécurité proposées par ISO 27002, une présélection des plus pertinentes pour la protection des données a été effectuée.

S’il n’est bien sûr pas question d’imposer une certification SGSI pour obtenir une certification SGPD, le niveau de reconnaissance d’une certification SGSI préexistante, notamment par rapport aux exigences de «Sécurité des données», devra être évalué et décidé de cas en cas par le certificateur. S’agissant de l’accréditation effectuée par le Service d’accréditation suisse (SAS), il est par contre probable que l’accréditation SGPD soit prévue comme une extension de l’accréditation SGSI (ISO 27001), étant donné la référence étroite et explicite aux exigences de cette norme.

Pour tous les acteurs concernés (accréditeurs, certificateurs, certifiés, auditeurs, contrôleurs, etc.), il faut souligner que l’actuel lien étroit avec les normes internationales ISO 27001 et 27002, sans oublier les futures normes 27003, 27004, 27005, 27006 et 27007, est judicieux et avantageux, étant donné leur importante reconnaissance et pénétration sur le marché mondial, ainsi que leur précieux apport terminologique, structurel et systématique.

Dans le but d’obtenir l’avis des milieux concernés, nous avons ouvert à fin 2007 une consultation des offices fédéraux et une audition externe. D’une manière générale, les directives proposées, ainsi que l’annexe d’implémentation, ont été plutôt bien accueillies. À la lumière des prises de position reçues, nous travaillons actuellement à une refonte rédactionnelle des directives, de manière à en améliorer la transparence et la lisibilité, en leur intégrant les éléments essentiels de la norme ISO 27001, tout en respectant les contraintes liées aux droits d’auteur. Le préposé devrait ainsi être à même d’édicter ces directives dans le courant du printemps 2008.

Dernière modification 30.06.2008

Début de la page

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/15eme-rapport-d-activites-2007-2008/emission-des-directives-du-prepose-pour-la-certification-d-organ.html