Dans mon précédent billet, je pointais du doigt la tendance à l’alignement des nouvelles réglementations européennes relatives à l’encadrement des sous-traitants avec la norme ISO27001.
L’examen des textes les plus récents montre que d’autres normes sont prises en considération. Le futur référentiel relatif à la certification Hébergeur de données de santé vise ainsi, en plus de la 27001, les normes :
- ISO27018 qui définit un Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) sur les clouds publics ;
- ISO20000, une « norme de système de management des services» qui définit « les exigences destinées au fournisseur de services pour planifier, établir, implémenter, exécuter, surveiller, passer en revue, maintenir et améliorer un SMS » ;
- ISO 27006 qui fixe les exigences pour les organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information.
D’autres textes, comme la recommandation de la CNIL relative au paiement en ligne, n’hésitent pas à viser des référentiels privés, en l’occurrence le célèbre PCI-DSS, élaboré et dirigé par les fabricants de cartes de paiement tels que Visa, MasterCard, American Express et Discover.
Enfin, un décret du 16 juin 2009 relatif à la normalisation précise que si « les normes [AFNOR] sont en principe d’application volontaire », elles « peuvent être rendues d’application obligatoire par arrêté signé du ministre chargé de l’industrie et du ou des ministres intéressés ».
Pourquoi cet intérêt soudain des autorités ? Plusieurs raisons peuvent être envisagées.
Raison n° 1 – La fin de l’obsolescence programmée juridique. Peut-être l’avez-vous déjà constaté. Le législateur passe le plus clair de son temps à courir après la technologie. Citons à cet égard l’article L34-5 du Code des Postes et Communications Electroniques qui a interdit la prospection directe électronique en délimitant précisément les vecteurs de communication : automate d’appel, télécopieur ou courrier électronique. Quid de la prospection par le biais d’iBeacons ? Vouloir coller à la technologie revient à introduire l’obsolescence programmée dans le droit.
A cet égard, se référer à des normes et référentiels établis par ou avec le concours des industriels, tels que la série des normes ISO27000, limite ce risque. Ces documents prennent en effet plus de hauteur que les textes de loi, et sont dès lors applicables pendant plus longtemps.
Raison n° 2 – Faire porter le risque techno sur les industriels. De plus en plus fréquemment, lois et décrets renvoient à un arrêté le soin d’approuver un référentiel de sécurité technique. Le plus connu est certainement le Référentiel Général de Sécurité (RGS), mais peuvent également être cités l’arrêté Confidentialité en matière de traitement de données médicales et le décret définissant les modalités de transmission des ordonnances électroniques. Points communs de ces deux derniers textes : ils n’ont jamais été publiés. Le renvoi à des normes ISO et à des référentiels privés a pour effet – sinon pour objectif – de faire peser le risque technico-juridique sur les organismes élaborant et approuvant ces textes. L’absence de mise-à-jour comme l’absence d’adhésion au référentiel seront considérées comme des fautes de ce délégataire normatif, plaçant ainsi les autorités publiques dans une situation nettement plus confortable que si l’une ou l’autre de ces obligations avait directement pesé sur elle.
Raison n° 3 – Permettre le marché unique. L’un des gros avantages de recourir à des normes et référentiels autonomes est leur capacité à franchir les frontières. Les lois restent confinées aux frontières géographiques des Etats et que ceux-ci peinent à se mettre d’accord sur un droit international des données, contraignant les organisations à appliquer les droits nationaux des pays où elles s’installent. A l’inverse, des normes comme la série des ISO27000 ont vocation à s’appliquer de façon internationale. Où que l’organisation s’installe, les bonnes pratiques définies dans une norme ISO sont en principe reconnues, facilitant ainsi son développement à l’international.
S’engager dans un processus de mise en conformité avec des normes et référentiels peut ainsi s’avérer une stratégie gagnante tant pour les organisations que pour les autorités publiques.
Reste peut-être à déterminer comment identifier, de façon anticipée, les normes sur lesquelles les pouvoirs publics entendent se fonder, à moyen ou long terme ? Comme l’a rappelé le Conseil d’Etat dans un arrêt du 28 juillet 2017, les normes que le législateur entend rendre obligatoires doivent être librement consultables. Guettez donc la liste des normes dont le contenu deviendrait soudainement gratuit pourrait donc s’avérer… payant !