Management de la qualité

Certification ISO 27018

La norme ISO 27018 porte sur la protection des données personnelles dans des environnements de type cloud public. Elle fournit un cadre de référence international permettant aux fournisseurs de cloud public de démontrer leur conformité aux meilleures pratiques en matière de protection des données.

Organisme de certification à l’expertise reconnue et acteur majeur de la confiance numérique, Certi-Trust mène des projets de certification ISO 27018. Celle-ci intervient en extension d’une certification ISO 27001 et constitue une réponse concrète aux exigences de protection des données personnelles dans le cloud public.

Qu’est-ce que la norme ISO 27018 ?

L’ISO/IEC 27018:2019 Technologies de l’information est un code de bonnes pratiques relatif à la protection des informations personnelles identifiables (PII) dans le cloud public. Elle cible les prestataires de services cloud agissant en qualité de sous-traitants au sens du RGPD, c’est-à-dire ceux qui traitent des données personnelles pour le compte de leurs clients responsables de traitement.

La norme ISO 27018 définit les mesures techniques et organisationnelles spécifiques nécessaires pour assurer la confidentialité, l’intégrité et la disponibilité des données personnelles hébergées.

Comme l’ISO 27017, la norme ISO 27018 intervient en extension d’un Système de Management de la Sécurité de l’Information (SMSI) ISO 27001 existant. Elle peut également être combinée avec la norme ISO 27701, de manière couvrir de manière complète les enjeux de protection des données personnelles.

Quels sont les objectifs de la norme ISO 27018 ?

  • Protéger les données personnelles hébergées dans le cloud public contre tout accès, utilisation ou divulgation non autorisés.
  • Assurer la transparence vis-à-vis des clients sur les pratiques de traitement des données personnelles.
  • Respecter les droits des personnes concernées : accès, rectification, effacement, portabilité.
  • Démontrer la conformité aux obligations du RGPD applicables aux sous-traitants cloud.

Quels sont les avantages de la certification ISO 27018 ?

  • Preuve indépendante et impartiale de la conformité aux exigences de protection des données personnelles dans le cloud.
  • Renforcement de la confiance des clients responsables de traitement vis-à-vis de leur prestataire cloud.
  • Réduction du risque de sanctions liées à la protection des données (RGPD, autorités de contrôle).
  • Couverture globale des enjeux de sécurité et de conformité lorsqu’elle est utilisée en complémentarité avec les normes ISO 27001, ISO 27017 et ISO 27701.

Comment se déroule le processus de certification ISO 27018 ?

L’obtention d’une certification ISO repose sur un processus d’évaluation structuré, conduit par des auditeurs compétents et indépendants, conformément aux exigences de la norme ISO/IEC 17021-1.

  1. 1

    Recevabilité et contractualisation

    Une analyse préalable de la demande permet de définir le périmètre d’application, de dimensionner le programme d’audit et de constituer l’équipe d’évaluation. Un contrat formalise l’engagement des deux parties.

  2. 2

    Audit de phase 1 – Revue du système documentaire

    L’équipe d’audit procède à l’examen des informations documentées du système de management (politique, procédures, résultats d’audits internes, revue de direction) afin de statuer sur la préparation de l’organisme pour la phase suivante.

  3. 3

    Audit de phase 2 – Évaluation sur site

    L’équipe d’audit évalue in situ la mise en œuvre effective et l’efficacité du système de management, au travers d’entretiens avec le personnel, d’observations terrain et de l’examen des preuves de conformité.

  4. 4

    Rapport d'audit et décision de certification

    Les constats sont consignés dans un rapport d’audit transmis à un Certification Manager, seul habilité à prononcer la décision de délivrance du certificat.

  5. 5

    Surveillance et renouvellement triennal

    Le maintien de la certification est assuré par des audits de surveillance périodiques, garants de l’amélioration continue, suivis d’un audit de renouvellement à l’échéance du cycle de trois ans.

Pourquoi choisir Certi-Trust pour sa certification ISO 27018 ?

  • Présence internationale

    Grâce à ses différentes implantations, Certi-Trust est présent en Europe, en Amérique du Nord, en Afrique et au Moyen-Orient. Son expertise et ses certifications sont reconnues à l’international.

  • Acteur majeur de la confiance numérique

    Certi-Trust a fait de la confiance numérique son cœur de métier. Son expertise sur les enjeux de cybersécurité et de souveraineté numérique est de plus en plus reconnue par les professionnels de ces secteurs.

    Organisme de certification sur les normes ISO et centre d’évaluation pour les programmes de qualification ANSSI, Certi-Trust est capable de répondre à l’ensemble des projets de conformité des entreprises. Grâce à ses équipes d’auditeurs et d’évaluateurs, Certi-Trust couvre différentes normes ISO et référentiels ANSSI, de manière conjointe. Un vrai gain en efficacité pour les entreprises.

  • Expertise, efficacité et adaptabilité

    Grâce à leur expertise technique et leur maîtrise fine de nombreux référentiels ISO, les équipes d’auditeurs Certi-Trust se distinguent par leur efficacité. Cette expertise se traduit par une qualité de service constante, et une capacité à s’adapter aux besoins des organisations.