Article

La norme ISAE 3000 appliquée au RGPD, et pourquoi pas ?

Elle permet de démontrer sa conformité pour augmenter la confiance

Le Règlement Général pour la protection des Données (RGPD), impose aux sous-traitants de démontrer leur conformité au RGPD à leurs responsables de traitements. Le règlement pour autant, ne précise pas les moyens de cette démonstration. En effet, la façon de démontrer cette conformité doit être dépendante du niveau de risque pris par le sous-traitant qui accepte de traiter les données personnelles du responsable de traitement.

Notamment se pose la question pour des responsables de traitements qui confient à un sous-traitant des données sensibles au sens du RGPD et/ ou une volumétrie significative, et qui ont un besoin réel d’assurance que leurs données ne craignent rien. Pour mémoire, la quasi-totalité des data breach significatifs connus sont le fait de sous-traitants !

Or, il n’est pas la peine d’inventer quelque chose, l’attestation existe et elle s’appuie sur une norme de travail internationale, l’ISAE 3000 (International Standard on Assurance Engagements). Elle norme et encadre toutes les missions d’attestation, dans lesquelles une partie autre que le professionnel mesure ou évalue un sujet au regard de critères précis.

La norme ISAE est déjà utilisée par les opérateurs qui internalisent des fonctions de leurs clients : gestion de la paie, gestion du système d’information comptable, … L’attestation issue de cette norme permet de donner une assurance à leurs clients que les fonctions sous-traitées sont opérées dans un cadre de contrôle interne pertinent (qui adresse les risques identifiés) et robuste (effectivement déployé et testé).

Or le dispositif de conformité au RGPD n’est ni plus ni moins qu’un dispositif de contrôle interne appliqué aux données personnelles. Cette norme est donc pleinement pertinente et applicable. Elle a notamment été retenue par le régulateur Luxembourgeois, la Commission Nationale pour la Protection des Données, comme réponse pertinente à l’article 42 du RGPD traitant de la certification.

Quel cadre offre cette norme internationale pour quel niveau d’assurance ?

La norme ISAE 3000 définit les missions d’assurance autres que celles relatives aux informations financières. C’est ce champ d’application très large qui permet une application dans le domaine du RGPD : un sous-traitant peut l’utiliser pour démontrer sa conformité, grâce à l’émission d’une opinion par un auditeur, professionnel indépendant. Celui-ci cherchera à obtenir des éléments probants suffisants et appropriés en vue d’exprimer une conclusion visant à renforcer la confiance des parties-prenantes quant au respect du RGPD.

On distingue deux types de rapports ISAE 3000 :

  • le type 1 qui permet d’émettre une opinion à un « instant T » : l’auditeur valide la bonne conception du dispositif de contrôle permettant de couvrir le risque de non-conformité,
  • le type 2 qui permet d’émettre une opinion sur la bonne mise en œuvre du dispositif de contrôle dans la durée (généralement au moins 6 mois).

La norme ISAE 3000 encadre les travaux effectués par le professionnel grâce un certain nombre de règles (respect des règles d’éthiques et vérification de prérequis avant d’accepter la mission - compétences de l’équipe, absence de conflits d’intérêts pouvant remettre en cause l’indépendance, …).

Pour illustrer la nature des travaux qui vont être conduit par les auditeurs, ces derniers vont conduire deux natures différentes de travaux.

Ils vont tout d’abord s’assurer de la mise en œuvre, en interne, de l’ensemble des mesures qui permettent de se conformer aux exigences du RGPD. L’auditeur sera ainsi en mesure de porter un avis sur la pertinence du dispositif de conformité mis en place.

Dans un second temps il va s’assurer que ce dispositif est bien mis en œuvre dans l’organisation. Pour se faire il va réaliser des tests afin de s’assurer par des tests que ces procédures sont effectivement bien mises en place.

Le professionnel qui utilise la norme ISAE 3000 doit faire preuve d’esprit critique, de jugement professionnel, et doit avoir les compétences et techniques en matière de RGPD et d'audit nécessaires lui permettant de mener à bien les travaux permettant l’émission du rapport. C’est la raison pour laquelle, ces travaux sont toujours effectués par des auditeurs, habitués à ce type d’environnement et d’exigences de travail.

Pour qui ce type de rapport est-il pertinent ?

Du fait du nombre de paramètres contrôlés pour obtenir cette attestation, la norme ISAE 3000 n’est donc adaptée qu’en réponse à un niveau de risque élevé pris par un sous-traitant en opérant les données personnelles du responsable de traitement.

Notamment, certains opérateurs ou secteurs nous semblent particulièrement pertinents pour utiliser cette norme :

  • Le secteur public et ses nombreux opérateurs qui traitent des données personnelles de citoyens et se doivent d’être exemplaires,
  • L’ensemble des entreprises qui offre des prestations de service en mode SaaS,
  • Les entreprises qui internalisent chez elles des fonctions d’autres clients : gestion de la paie, fonctions comptables, prestations commerciales, phoning
  • Les gestionnaires et hébergeurs de données de santé,
  • Les opérateurs télécoms dont les informations de trafic et de localisation des téléphones mobiles constituent des données particulièrement sensibles pour le grand public,
  • Les entreprises qui ont pour modèle économique le commerce de données personnelles : location de bases de données, ciblage publicitaire, suivi et analyse de trafic sur internet,
  • A cela se rajouterait des solutions techniques particulièrement exposées comme le montre la polémique actuelle sur l’outil de tracking Covid-19. Une attestation d’un tiers indépendant serait de nature à rassurer les utilisateurs.

Lorsque les parties prenantes (clients, fournisseurs, régulateurs...) cherchent à obtenir une démonstration de la pertinence du dispositif de contrôle interne permettant de s’assurer de la conformité au RGPD par une organisation, la norme ISAE 3000 est un outil particulièrement adapté et pertinent.

Les bénéfices sont nombreux : rapport d’attestation réalisé par un professionnel indépendant, norme d’audit reconnue au niveau international, possibilité d’attester la conformité RGPD dans son ensemble ou d’un processus sélectionné, visibilité accrue pour les clients sur les contrôles et les potentiels axes d’améliorations relevés, valorisation des travaux réalisés en interne, …

Cela implique évidemment un certain degré de maturité de l’organisation, qui pourra se mesurer par exemple au travers d’un « audit à blanc » permettant d’évaluer plus précisément la charge de travail nécessaire afin d’émettre un rapport ISAE 3000 concluant à la pertinence du dispositif de contrôle interne assurant la conformité.

Associé
Nicolas Gasgnier-Duparc Rencontrez Nicolas
Associé Florian Abegg Rencontrez Florian