Parce que les cordonniers sont souvent les plus mal chaussés, chez Dastra, on marche dans du sur-mesure !
Chez Dastra, la confidentialitĂ© et la sĂ©curitĂ© des donnĂ©es ont toujours Ă©tĂ© au cĆur de notre mission. Nous sommes donc fiers dâannoncer que Dastra est dĂ©sormais certifiĂ©e ISO 27701, une norme internationale qui atteste de notre conformitĂ© aux meilleures pratiques en matiĂšre de gestion de la protection des donnĂ©es personnelles.
En tant que plateforme spécialisée dans la gestion de la conformité RGPD, nous nous sommes retrouvés clients de notre propre outil. Découvrez notre feuille de route vers cette certification!
đISO 27701 : câest quoi ?
La norme ISO 27701 est une extension de lâISO 27001 (qui certifie un systĂšme de management de la sĂ©curitĂ© de lâinformation), en ce quâelle intĂšgre des exigences spĂ©cifiques Ă la protection des donnĂ©es personnelles.
Plusieurs experts techniques et autoritĂ©s ont contribuĂ© Ă la norme, telle que la CNIL dont le rĂŽle Ă©tait actif, lâAFNOR et le CEPD. Le but Ă©tant dâaligner les exigences de la norme avec plusieurs cadres rĂ©glementaires, non seulement la loi europĂ©enne (RGPD) mais aussi la loi californienne (CCPA) ou encore canadienne.
Cette norme à portée mondiale, représente l'état de l'art en protection de la vie privée. Pour en savoir plus, retrouvez les explications de la CNIL ici.
Obtenir cette certification signifie que Dastra a mis en place:
- un systÚme de management de la protection des données (PIMS - Privacy Information Management System) répondant aux exigences les plus strictes en matiÚre de confidentialité et de gouvernance des informations;
- des mesures spécifiques aux traitements de données personnelles, en tenant compte de notre rÎle, le plus souvent de sous-traitant.
đPourquoi se lancer dans la certification ISO 27701 ?
Bien que Dastra propose dĂ©jĂ une plateforme de conformitĂ© RGPD solide, lâĂ©quipe a choisi dâaller encore plus loin.
Dans une dĂ©marche volontaire, lâobtention de cette certification incarne une approche proactive, alignĂ©e sur les standards internationaux les plus exigeants en matiĂšre de protection des donnĂ©es personnelles â un vĂ©ritable gage de maturitĂ© organisationnelle et de rigueur opĂ©rationnelle.
ConcrĂštement, cela signifie :
- Une gestion des données personnelles plus sécurisée et transparente
- Une conformitĂ© renforcĂ©e avec le RGPD et dâautres rĂ©glementations internationales
- Une gouvernance efficace et des contrÎles rigoureux sur les traitements de données
- Une amélioration continue de nos processus pour garantir la confidentialité et la sécurité des informations
Nos clients peuvent ainsi compter sur un partenaire fiable et certifié pour les accompagner dans la gestion et la sécurisation de leurs propres données.
đ§ Accompagnement : faut-il se faire aider ?
La réponse est claire : tout dépend de votre structure et de la maturité de votre organisation sur ces sujets, notamment au niveau des connaissances des attentes ISO, et de gestion d'un audit.
CritĂšres | Service (Expert humain) |
SaaS (Logiciel) |
Intermédiaire (SaaS + Service) |
---|---|---|---|
Transparence sur la stratĂ©gie | đ Moyenne Ă bonne selon lâacteur | â ïž Faible : logique « boĂźte noire » du logiciel | â Totale : approche claire, expliquĂ©e, personnalisĂ©e |
MaĂźtrise des preuves | đ Moyenne, selon l'acteur | â ïž LimitĂ©e : dĂ©pend des rĂšgles du logiciel | â Forte : sĂ©lection manuelle, contextualisĂ©e |
Gain de temps | đ Important sur lâaudit, moins sur la collecte | â TrĂšs fort pour la collecte | â ĂquilibrĂ© : rapide mais encadrĂ© |
QualitĂ© de la certification | â Haute | â ïž DĂ©pend de lâutilisateur | â Haute (alignĂ©e Ă lâhumain + audit) |
CoĂ»t | âïž Plus Ă©levĂ© | â Abordable | đž IntermĂ©diaire |
Niveau dâautonomie requis | đ Faible : tout est guidĂ© | âïž Fort : tout dĂ©pend de lâutilisateur | đ ModĂ©rĂ© : assistance disponible |
AdaptĂ© aux PME sans ressource dĂ©diĂ©e ? | â Oui | â ïž RisquĂ© si lâĂ©quipe est non formĂ©e | â Oui, avec support |
Nous avons fait le choix de l'approche intermédiaire, en collaboration avec notre partenaire Bastion, qui a grandement simplifié le processus.
Ce type dâaccompagnement, bien que non obligatoire, sâavĂšre particuliĂšrement stratĂ©gique â notamment en lâabsence dâexpertise ISO en interne â pour plusieurs raisons clĂ©s qui sont les suivantes :
Les étapes clés de notre certification
𧩠Ătape 1 : PrĂ©paration et gouvernance
Notre dĂ©marche a dĂ©butĂ© il y a deux ans, avec lâambition dâobtenir simultanĂ©ment les certifications ISO 27001 et ISO 27701. DĂšs le dĂ©part, nous avons mis en place un comitĂ© de pilotage et dĂ©signĂ© un rĂ©fĂ©rent chargĂ© de la collecte et de la validation des preuves.
Un facteur clĂ© Ă notre rĂ©ussite Ă©tait la mise en place d'une gouvernance transversale : des rĂ©unions rĂ©guliĂšres ont Ă©tĂ© instaurĂ©es, impliquant la direction, le DPO et les Ă©quipes stratĂ©giques. Ceci a permis dâassurer que la conformitĂ© nâĂ©tait pas portĂ©e uniquement par les Ă©quipes tech ou juridique, mais bien par lâensemble de lâentreprise.
Une fois la gouvernance cadrĂ©e, nous avons commencĂ© par analyser notre systĂšme existant pour mesurer lâadĂ©quation de nos pratiques avec les exigences de lâISO 27701. Dastra avait dĂ©jĂ une base solide grĂące Ă son propre outil (registre des traitements, cartographies, politiques documentĂ©es), mais il manquait une approche centralisĂ©e de la preuve.
Il a donc fallu :
- Identifier ce qui existe et définir le périmÚtre de la certification
- Compléter ce qui manque et analyser des écarts
- Structurer le tout pour le rendre audit-proof.
𧩠Ătape 2 : Mise en place du SystĂšme de Management de la Protection de la Vie PrivĂ©e (PIMS)
Afin dâintĂ©grer les exigences de la norme, nous avons renforcĂ© nos politiques et procĂ©dures en matiĂšre de protection des donnĂ©es personnelles, notamment en :
â Cartographiant nos traitements de donnĂ©es personnelles.
â Structurant nos politiques de confidentialitĂ© et de gestion des droits des utilisateurs.
â Mettant en place des mesures de sĂ©curitĂ© adaptĂ©es pour garantir la confidentialitĂ© des informations.
A noter que lâauditeur ne sâintĂ©resse pas tant Ă ce que vous faites quâĂ ce que vous prouvez que vous faites: ce qui nâest pas documentĂ© nâexiste pas. Il ne suffit pas de mettre en place une bonne pratique â encore faut-il en dĂ©montrer lâeffectivitĂ©, de maniĂšre structurĂ©e et vĂ©rifiable.
Prenons un exemple concret :
- Un simple scan de sĂ©curitĂ© ne constitue pas une preuve suffisante. Il faut pouvoir dĂ©montrer quâune action a Ă©tĂ© entreprise en rĂ©ponse au scan (correctif, validation, mise en production), avec une capture dâĂ©cran ou une traçabilitĂ© associĂ©e.
- Ou encore : la suppression automatique des donnĂ©es des clients Ă©tait techniquement opĂ©rationnelle chez Dastra, mais lâabsence de formalisation explicite de la politique constituait un point dâamĂ©lioration identifiĂ©.
Les politiques indispensables au PIMS:
Politique de confidentialité : définit comment les données personnelles sont collectées, utilisées, stockées et protégées.
Politique de conservation des données : précise la durée de conservation des données selon leur type et leur finalité.
Politique de suppression des données : décrit les méthodes sécurisées de suppression ou de destruction des données et documents.
Politique de classification des données : catégorise les données selon leur sensibilité pour adapter les niveaux de protection.
Politique de chiffrement : définit les rÚgles de chiffrement des données en stockage et en transmission.
Plan de communication en cas de changement de sous-traitant : encadre la notification des clients et partenaires en cas de modification des sous-traitants.
CGU/CGV : Ă©tablissent les conditions contractuelles entre lâentreprise et ses utilisateurs ou clients.
SystĂšme de management de la sĂ©curitĂ© de lâinformation (ISMS) Ă jour : garantit que toutes les politiques sont formalisĂ©es, appliquĂ©es, mises Ă jour et auditĂ©es rĂ©guliĂšrement.
đ§©Ătape 3 : Audit interne, Ă©tape de prĂ© validation
Avant lâaudit officiel, Dastra a rĂ©alisĂ© un audit interne avec son partenaire Bastion. Cela a permis de :
- VĂ©rifier que toutes les exigences ISO 27001 + 27701 Ă©taient bien couvertes.
- Identifier les éventuelles non-conformités ou preuves résiduelles.
- Mettre en Ćuvre rapidement les ajustements nĂ©cessaires.
Ce test grandeur nature est une Ă©tape cruciale : il permet de corriger les derniers points faibles sans pression.
𧩠Ătape 4 : Management Review
Le processus sâest conclu par une management review rĂ©unissant lâensemble des parties prenantes â direction gĂ©nĂ©rale, responsable conformitĂ©, technique et produit. Cette rĂ©union finale a permis de :
- De valider collectivement les derniĂšres preuves.
- Dâattester formellement que les objectifs de conformitĂ© ont Ă©tĂ© atteints.
- Et dĂ©montrer Ă lâauditeur une gouvernance engagĂ©e et pleinement consciente de ses responsabilitĂ©s.
đ§©Ătape 5: Audit de certification par un organisme accrĂ©ditĂ©
Enfin, un auditeur indépendant a évalué notre conformité à la norme. Grùce aux efforts de nos équipes et à notre engagement continu pour la sécurité des données, nous avons obtenu la certification ISO 27701 avec succÚs.
LâĂ©quipe le reconnaĂźt : c'Ă©tait une dĂ©marche longue, mais structurante. MĂȘme pour une entreprise comme Dastra, spĂ©cialisĂ©e dans la conformitĂ©, il a fallu structurer, prouver, formaliser. Ce nâest pas la technologie seule qui permet la certification, mais la cohĂ©rence entre les outils, les pratiques et la gouvernance.
đïžComment Dastra a simplifiĂ© la gestion des preuves?
Vous vous en doutez peut-ĂȘtre : avec Dastra, toutes ces Ă©tapes prĂ©cĂ©dentes sont possibles !
Dastra a fait la moitiĂ© du travail. GrĂące au registre, Ă la cartographie des traitements et Ă lâexport des preuves, une grande partie des Ă©lĂ©ments attendus Ă©taient dĂ©jĂ centralisĂ©s dans lâoutil.
Durant le processus dâobtention de la certification ISO 27701, nous sommes devenus clients de notre outil qui Ă©tait indispensable pour faire face Ă la charge complexe que sont les exigences de la norme.
Etape 1 : Avoir une Cartographie des données à jour
- RĂ©pertorier les donnĂ©es personnelles de lâentreprise
- RĂ©pertorier les actifs de lâentreprise qui traitent ces donnĂ©es
- Lier ces actifs aux acteurs sous-traitants
- Renseigner la localisation de ces sous-traitants
- Récoltez les documents de sécurité, politiques de gestion des données et les SLA de vos sous-traitants dans le module contrat en les liants à vos acteurs
Etape 2 : Avoir un registre des traitements Ă jour
- RĂ©pertorier les traitements de donnĂ©es de lâentreprise
- RĂ©aliser automatiquement un PIA pour vos traitements Ă risque depuis le module Questionnaire (template PIA)
- Générer automatiquement vos DPA
Etape 3 : Exporter un Rapport personnalisé
- Il ne vous reste plus quâa exporter le rapport « acteurs et jeux de donnĂ©es » pour avoir vos sous-traitants, leur localisation et les jeux de donnĂ©es auxquelles ils ont accĂšs
Etape 4 : RĂ©colter les consentements Cookie
- Mettre en place sa politique de cookie
- Mettre en place le widget de consentement sur votre site Web
Etape 5 : GĂ©rer les demandes dâexercice des droits
- Mettre en place votre Privacy hub Dastra !
â Ce que Dastra retient de lâexpĂ©rience
- La certification ISO 27701 permet de renforcer la culture de la preuve, mĂȘme pour une entreprise dĂ©jĂ experte en conformitĂ©.
- Elle oblige à formaliser ce qui est souvent implicite, notamment en matiÚre de sécurité et de politique de confidentialité.
- Elle permet de fĂ©dĂ©rer les Ă©quipes autour dâune dĂ©marche commune, avec une vision claire des responsabilitĂ©s.
- Elle tĂ©moigne dâun engagement concret en faveur de la sĂ©curitĂ© et de la vie privĂ©e.
đŻ En rĂ©sumĂ© : La certification ISO 27701 est bien plus quâun label. Câest une dĂ©marche de fond, qui nous pousse en tant que plateforme spĂ©cialisĂ©e dans la gestion de la conformitĂ© RGPD, Ă appliquer Ă nous-mĂȘmes les plus hauts standards en matiĂšre de sĂ©curitĂ© et de confidentialitĂ©.
Nos clients peuvent ainsi compter sur un partenaire fiable et certifié pour les accompagner dans la gestion et la sécurisation de leurs propres données.
Souhaitez-vous ĂȘtre accompagnĂ© pour une dĂ©marche ISO 27701 ?
Dastra propose une plateforme qui vous aidera Ă centraliser vos preuves, structurer vos politiques et documenter vos pratiques. Mais surtout : câest un outil conçu par une Ă©quipe qui est passĂ©e par lĂ .