accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Deux normes pour aider à la gestion des données personnelles et à l’utilisation responsable de l’IA

AAI
CNIL, actualités, 2 avr. 2024 (Normes)
[02.04.2024]

La CNIL présente 2 normes : l’une décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles ; l’autre est destinée aux organismes qui fournissent ou utilisent des systèmes d’IA.

La norme ISO/IEC 27701 est une norme internationale qui décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles. Elle complète 2 normes internationales reconnues, l’ISO/IEC 27001 et l’ISO/IEC 27002, qui certifient un « système de management de la sécurité de l’information » et détaillent les bonnes pratiques pour la mise en œuvre des mesures de sécurité nécessaires.

La norme ISO/IEC 27701 définit un « système de management de la protection de la vie privée » étendu pour inclure les particularités des traitements de données personnelles. Elle couvre des aspects tels que la détermination du rôle de l’organisme à certifier (responsable de traitement, sous-traitant), la gestion unifiée des risques informatiques pour l’organisme et des risques pour la vie privée des personnes, la désignation d’un responsable pour la protection de la vie privée, la sensibilisation des personnels, la classification des données, la protection des supports amovibles, la gestion des accès et le chiffrement des données, la sauvegarde des données, la journalisation des événements, les conditions de transferts de données, la protection de la vie privée dès la conception et par défaut (privacy by design and by default), la gestion des incidents, et la conformité aux exigences légales et réglementaires.

La norme ISO/IEC 27701 a été adaptée par le comité européen de normalisation en électronique et électrotechnique (CEN-CENELEC) avec la nouvelle norme EN 17926 « Système de management de la protection de la vie privée conformément à l’EN ISO/IEC 27701 - Affinements relatifs au contexte européen », publiée en novembre 2023. Cette extension rend obligatoire toutes les mesures imposées par le RGPD (notamment les droits des personnes concernées) et précise certaines mesures dans ce contexte (par exemple, le délai de notification d’une violation de données).

Quant à la norme ISO/IEC 42001, elle est destinée aux organismes qui fournissent ou utilisent des systèmes d’IA. Elle spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de management de l’intelligence artificielle (SMIA) au sein des organisations. Elle est conçue pour les entités qui fournissent ou utilisent des produits ou services basés sur l’IA, assurant le développement et l’utilisation responsables des systèmes d’IA.