La confidentialité programmée deviendra une norme ISO le mois prochain

Quatorze ans après avoir été introduit par un commissaire canadien à la protection de la vie privée, la confidentialité programmée (Privacy by Design) est sur le point de devenir une norme internationale de confidentialité pour la protection des produits et services aux consommateurs.

Le 8 février, l’Organisation internationale de normalisation (ISO) adoptera la confidentialité programmée en tant que norme ISO 31700.

L’ISO est un réseau de 167 organismes nationaux de normalisation. Il établit plus de 24 000 normes, y compris la norme ISO 27001 pour les systèmes de gestion de la sécurité de l’information, dont certaines organisations peuvent être certifiées conformes après avoir passé un examen par des cabinets d’audit comme Deloitte, KPMG et PwC.

Au départ, cependant, ISO 31700 ne sera pas une norme de conformité.

« C’est incroyable que l’ISO fasse cela », a déclaré Ann Cavoukian, créatrice de la confidentialité programmée et aujourd’hui directrice exécutive du Global Privacy and Security by Design Centre de Toronto. « C’est énorme. »

« Nous pensons que ce sera une étape majeure en matière de confidentialité. »

Dévoilé en 2009, la confidentialité programmée est un ensemble de principes qui appelle à la prise en compte de la confidentialité tout au long du processus de gestion des données d’une organisation.

Depuis lors, il a été adopté par l’Assemblée internationale des commissaires à la vie privée et des autorités de protection des données, et intégré dans le règlement général européen sur la protection des données (RGPD). Cependant, seules les organisations qui détiennent des données sur les résidents européens sont tenues de suivre le RGPD. En 2018, l’ISO a formé un groupe pour commencer à planifier l’inclusion de la confidentialité programmée dans ses normes.

L’adoption par l’ISO « donne vie à l’opérationnalisation du concept de confidentialité programmée », a déclaré Ann Cavoukian, « en aidant les organisations à comprendre comment le faire. La norme est conçue pour être utilisée par toute une gamme d’entreprises – des entreprises en démarrage, des entreprises multinationales, des organisations de toutes tailles. Avec n’importe quel produit, vous pouvez faire fonctionner cette norme car elle est facile à adopter. Nous espérons que la confidentialité sera intégrée de manière proactive dans la conception des opérations [d’une organisation] et qu’elle complétera les lois sur la protection des données.

À titre indicatif, la confidentialité programmée s’applique aux systèmes informatiques, aux pratiques commerciales responsables, à la conception physique et à l’infrastructure en réseau.

Tel qu’elle a été conçue à l’origine, la confidentialité programmée comporte sept principes, y compris ceux qui stipulent que la confidentialité doit être le paramètre par défaut d’une organisation (aucune action n’est requise de la part d’un individu pour protéger sa confidentialité), elle est intégré à la conception des systèmes informatiques et des pratiques commerciales, et elle est partie de l’ensemble du cycle de vie des données.

La norme ISO 31700 finale est plus détaillée, avec 30 exigences. Un brouillon de la norme indique qu’elle fera 32 pages. Elle comprend des conseils généraux sur la conception de capacités permettant aux consommateurs de faire respecter leurs droits à la vie privée, l’attribution de rôles et d’autorités pertinents, la fourniture d’informations sur la confidentialité aux consommateurs, la réalisation d’évaluations des risques pour la vie privée, l’établissement et la documentation des exigences pour les contrôles de confidentialité, la conception de contrôles de confidentialité, la gestion des données du cycle de vie et la préparation et la gestion d’une violation de données.

L’introduction proposée note que la confidentialité programmée fait référence à plusieurs méthodologies de développement de produits, de processus, de systèmes, de logiciels et de services. La bibliographie proposée qui accompagne le document fait référence à d’autres normes avec des exigences plus détaillées sur l’identification des informations personnelles, les contrôles d’accès, le consentement des consommateurs, la gouvernance d’entreprise et d’autres sujets.

Parallèlement à la norme, un document distinct décrit les cas d’utilisation possibles.

Le lancement sera marqué par un webinaire d’une heure donnant un aperçu de la norme pour les chefs d’entreprise, les propriétaires d’entreprise, les défenseurs de la vie privée des consommateurs et les praticiens de la technologie.

Ann Cavoukian a répété l’argument qu’elle défend depuis des années : la confidentialité peut être un avantage concurrentiel pour les entreprises qui l’adoptent. « Débarrassez-vous du modèle obsolète de confidentialité vs affaires », a-t-elle déclaré. « Cela peut être gagnant-gagnant. C’est la vie privée et les intérêts commerciaux. Vous pouvez faire les deux. »

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

La confidentialité doit être gérée sans interruption

Les organisations doivent gérer en continu les risques liés à la confidentialité, selon la responsable des pratiques de confidentialité pour KMPG au Canada.

Complexité et cybersécurité ne font pas bon ménage

L'infrastructure d'un réseau doit être simplifiée pour accroître la sécurité contre les cyberattaques, selon des spécialistes en cybersécurité réunis lundi dans le cadre du Sommet canadien annuel des télécommunications à Toronto.

Cavoukian sur les données subtilisées à Terre-Neuve : « épouvantable »

L'une des principales expertes au Canada en matière de protection de la vie privée est indignée que des individus aient pu accéder aux données de milliers de patients et d'employés du système de santé de Terre-Neuve-et-Labrador.

Coopération Québec-France en normalisation de l’impression 3D

Le Bureau de normalisation du Québec (BNQ), l'association AFNOR...

Parution de deux normes ISO en sécurité et rappel de produits

L'Organisation internationale de normalisation publie deux normes qui auront...