ISO/IEC 27018.

ISO 27018 est l'extension de contrôles privacy d'ISO 27001 destinée aux prestataires cloud agissant en tant que sous-traitants de données à caractère personnel. Il fait le lien entre ISO 27001 et les obligations GDPR du sous-traitant. Détenu principalement par les hyperscalers, il est utilisé par leurs clients comme élément d'entrée pour la due diligence fournisseur.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

La vision de Cyber Academy

ISO 27018 est l'extension de contrôles privacy d'ISO 27001 destinée aux prestataires cloud agissant en tant que sous-traitants de données à caractère personnel. Il fait le lien entre ISO 27001 et les obligations GDPR du sous-traitant. Détenu principalement par les hyperscalers, il est utilisé par leurs clients comme élément d'entrée pour la due diligence fournisseur.

Ce que la norme ISO/IEC 27018 ajoute par-dessus ISO 27001

ISO/IEC 27018 est un code de bonnes pratiques, et non un système de management autonome. Elle suppose que vous exploitez déjà un système de management de la sécurité de l'information certifié ISO/IEC 27001, et elle vient greffer une couche de protection de la vie privée sur cette base. Plus précisément, elle vise un rôle unique : un fournisseur de services de cloud public agissant en tant que sous-traitant de données à caractère personnel (PII) pour le compte de ses clients. La norme reprend les mesures génériques d'ISO/IEC 27002 et les réinterprète dans ce contexte de sous-traitance, puis ajoute un ensemble de mesures de protection de la vie privée propres au cloud qu'ISO 27001 seule n'exige pas.

La conséquence pratique est qu'ISO 27018 ne se certifie pas à elle seule. Un fournisseur est certifié ISO 27001 avec ISO 27018 comme ensemble de mesures applicable à l'intérieur du périmètre. C'est pourquoi vous la voyez formulée comme « certifié ISO 27001, audité au regard d'ISO 27018 » plutôt que comme un certificat distinct. Les mesures portent sur des éléments qu'un client du cloud ne peut pas facilement vérifier par lui-même : le fait que le fournisseur utilise ou non les PII des clients pour sa propre publicité, le fait que les sous-traitants ultérieurs soient divulgués avant d'être engagés, la manière dont les données sont traitées à la fin d'un contrat, et ce qui se passe lorsque les autorités demandent l'accès aux données.

Sa place entre ISO 27001, ISO 27017 et le RGPD

Trois références voisines sont confondues avec ISO 27018, et les distinctions comptent lorsque vous délimitez un audit ou remplissez un questionnaire fournisseur. ISO 27001 est le système de management qui régit la sécurité de l'information de manière générale. ISO 27017 est le code de bonnes pratiques de sécurité du cloud, plus large que la vie privée et axé sur la sécurité des services cloud, tant pour le fournisseur que pour le client. ISO 27018 est plus étroite que les deux : il s'agit de la protection de la vie privée, dans le cloud public, pour le seul rôle de sous-traitant.

ISO 27018 comparée aux normes voisines
RéférencePérimètreCe qu'elle régit
ISO/IEC 27001Management de la sécurité de l'informationLe SMSI certifiable que les autres prolongent
ISO/IEC 27017Mesures de sécurité du cloudSécurité des services cloud, fournisseur et client
ISO/IEC 27018Protection de la vie privée dans le cloud pour les sous-traitantsProtection des PII traitées par un sous-traitant cloud
GDPRDroit européen de la protection des donnéesObligations légales pesant sur les responsables de traitement et les sous-traitants

ISO 27018 constitue une passerelle utile vers les obligations du sous-traitant au titre du RGPD, car elle rend opérationnelles des idées que le règlement exprime en termes juridiques : limitation des finalités, transparence sur la sous-traitance ultérieure, assistance au responsable de traitement, et restitution ou suppression des données. Mais elle ne s'y substitue pas. Un certificat ISO 27018 est une preuve de bonnes pratiques de sous-traitance, et non un constat de conformité juridique. Le RGPD répartit les obligations par le droit contraignant et par les contrats entre responsable de traitement et sous-traitant ; une norme ne peut pas le faire à votre place.

Ce que les praticiens en font réellement

Pour la plupart des organisations, ISO 27018 est quelque chose que l'on consomme plutôt que quelque chose que l'on détient. Lorsque vous sélectionnez un service cloud et que votre analyse d'impact relative à la protection des données ou votre processus de gestion des risques liés aux tiers pose la question « ce sous-traitant est-il digne de confiance », l'audit ISO 27018 du fournisseur est l'un des éléments que vous collectez, aux côtés des déclarations de périmètre ISO 27001, des rapports SOC et de l'accord de traitement.

  • Confirmez que le certificat est en cours de validité et que le service cloud que vous utilisez réellement relève bien du périmètre audité, et non du seul SMSI de l'entreprise.
  • Lisez-la conjointement avec ISO 27001 et ISO 27017, car les trois sont conçues pour être empilées, et un fournisseur qui détient les trois a couvert la sécurité et la protection de la vie privée dans le cloud de manière plus complète.
  • Faites correspondre les mesures d'ISO 27018 à vos propres obligations au titre du RGPD plutôt que de supposer un recouvrement, car la norme soutient la relation de sous-traitance mais ne décharge pas le responsable de traitement de ses obligations légales.
  • Conservez le contrat de traitement comme document contraignant. La norme signale une intention ; l'accord de traitement des données est ce que vous faites appliquer.

Frequently asked questions

01Un fournisseur peut-il être certifié ISO 27018 à lui seul ?

Non. ISO 27018 est un code de bonnes pratiques appliqué au sein d'un système de management ISO 27001. Un fournisseur est certifié ISO 27001 et audité au regard d'ISO 27018 en tant qu'ensemble de mesures de protection de la vie privée applicable, plutôt que de recevoir un certificat ISO 27018 distinct.

02ISO 27018 rend-elle un fournisseur conforme au RGPD ?

Non. Elle fait le pont vers les obligations du sous-traitant au titre du RGPD en rendant opérationnelles des pratiques telles que la transparence sur la sous-traitance ultérieure et la restitution ou la suppression des données, mais la conformité juridique découle du droit et du contrat de traitement. Considérez le certificat comme une preuve à l'appui, et non comme une preuve de conformité.

03Quelle est la différence entre ISO 27017 et ISO 27018 ?

ISO 27017 est le code de bonnes pratiques de sécurité du cloud plus large, couvrant à la fois le fournisseur et le client. ISO 27018 est plus étroite : elle traite de la protection des données à caractère personnel lorsqu'un fournisseur de cloud public agit en tant que sous-traitant.

04Mon organisation devrait-elle se faire certifier ISO 27018 ?

En général uniquement si vous exploitez vous-même un service de cloud public qui traite les PII de vos clients en tant que sous-traitant. Pour la plupart des organisations, ISO 27018 est quelque chose que l'on consulte au sujet de ses fournisseurs comme élément de diligence raisonnable, et non quelque chose que l'on détient.

05Qui détient réellement la certification ISO 27018 ?

Elle est le plus souvent détenue par les grands fournisseurs de cloud et les hyperscalers, puisque la norme vise le rôle de sous-traitant de cloud public. Leurs clients utilisent ensuite l'audit comme l'un des éléments lors de l'évaluation du fournisseur.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.