Deux normes pour aider à la gestion des données personnelles et à l’utilisation responsable de l’IA
La CNIL présente 2 normes : l’une décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles ; l’autre est destinée aux organismes qui fournissent ou utilisent des systèmes d’IA.
La norme ISO/IEC 27701 est une norme internationale qui décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles. Elle complète 2 normes internationales reconnues, l’ISO/IEC 27001 et l’ISO/IEC 27002, qui certifient un « système de management de la sécurité de l’information » et détaillent les bonnes pratiques pour la mise en œuvre des mesures de sécurité nécessaires.
La norme ISO/IEC 27701 définit un « système de management de la protection de la vie privée » étendu pour inclure les particularités des traitements de données personnelles. Elle couvre des aspects tels que la détermination du rôle de l’organisme à certifier (responsable de traitement, sous-traitant), la gestion unifiée des risques informatiques pour l’organisme et des risques pour la vie privée des personnes, la désignation d’un responsable pour la protection de la vie privée, la sensibilisation des personnels, la classification des données, la protection des supports amovibles, la gestion des accès et le chiffrement des données, la sauvegarde des données, la journalisation des événements, les conditions de transferts de données, la protection de la vie privée dès la conception et par défaut (privacy by design and by default), la gestion des incidents, et la conformité aux exigences légales et réglementaires.
La norme ISO/IEC 27701 a été adaptée par le comité européen de normalisation en électronique et électrotechnique (CEN-CENELEC) avec la nouvelle norme EN 17926 « Système de management de la protection de la vie privée conformément à l’EN ISO/IEC 27701 - Affinements relatifs au contexte européen », publiée en novembre 2023. Cette extension rend obligatoire toutes les mesures imposées par le
Quant à la norme ISO/IEC 42001, elle est destinée aux organismes qui fournissent ou utilisent des systèmes d’IA. Elle spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de management de l’intelligence artificielle (SMIA) au sein des organisations. Elle est conçue pour les entités qui fournissent ou utilisent des produits ou services basés sur l’IA, assurant le développement et l’utilisation responsables des systèmes d’IA.