La norme 27001 sur la sécurité a été complétée en août par un texte propre au RGPD. Les rédacteurs de cette norme entendent la rendre la plus efficace et contemporaine possible. Mais est-ce réellement pertinent de s’y conformer ?

La norme 27701 a vu le jour il y a quelques semaines afin de compléter les normes 27001 et 27002 sur la sécurité.

Ce document de quelque 78 pages (en anglais) précise certaines règles à respecter notamment en matière de RGPD. Enfin, d’après les rédacteurs.

En effet, il nous semble que certains propos soient parfois impropres ou parfois incomplets. Par exemple, il est précisé qu’il faut toujours demander l’accord du consommateur pour des opérations de marketing ou de publicité (point 8.2.3). Cette règle est n’est pas conforme au droit, du moins en Europe, car il est possible à tout professionnel de placer des offres ou publicités pour ses propres produits identiques ou similaires à ceux qu’il a précédemment acheté et ce, sans le consentement.

De plus, si la conformité informatique aux normes 27001 et/ou 27002 peuvent donner confiance à la CNIL / ANSSI ou une autre autorité de contrôle, il n’en reste pas moins que celles-ci iront voir la conformité réelle de l’entreprise à la loi et à son interprétation juridique par les tribunaux et lesdites autorités. De même, la conformité à la nouvelle norme 27701 n’assurera en rien une conformité de fait à la loi et aux principes voulus par le CNIL / ANSSI.

Dès lors, que faire ?

Personne ne vous reprochera jamais de vous être mis en conformité avec une telle norme. En revanche, il est fondamental, avant d’exposer votre entreprise à de tels coûts (car ça coûte très cher), de bien valider l’opportunité de le faire. Et il est alors conseillé de faire faire des devis à des tiers, comme des avocats spécialisés, qui se révèlent souvent moins chers in fine.