Le 02 avril 2024 marque un tournant important dans le renforcement de la protection des données personnelles et la gouvernance de l’intelligence artificielle (IA), grâce à l’apport des normes internationales ISO/IEC 27701 et ISO/IEC 42001. Ces normes viennent compléter un ensemble déjà solide de standards visant à encadrer la sécurité informatique et le respect de la vie privée dans un monde de plus en plus numérisé.
Qu’est-ce que la norme ISO/IEC 27701 ?
Publiée en août 2019, la norme ISO/IEC 27701 s’inscrit dans la continuité des normes ISO/IEC 27001 et ISO/IEC 27002, respectivement consacrées à la certification des systèmes de management de la sécurité de l’information et à la mise en œuvre des bonnes pratiques de sécurité. La norme ISO/IEC 27701 élève la barre en introduisant un système de management de la protection de la vie privée spécifiquement conçu pour intégrer les exigences relatives aux traitements de données personnelles.
Elle définit un cadre pour la gestion des risques informatiques et de la vie privée, impliquant la désignation d’un délégué à la protection des données (DPO), la sensibilisation des personnels, la classification des données, ou encore la gestion des incidents de sécurité. Cette norme prend également en compte la conformité aux législations en vigueur, y compris le RGPD, à travers des mesures dédiées à la protection des droits des personnes (information, accès, rectification, suppression, etc.).
L’adaptation européenne : EN 17926
Répondant au besoin d’une spécification plus proche du contexte législatif européen, la norme EN 17926, publiée en novembre 2023, vient compléter l’ISO/IEC 27701 en rendant obligatoires toutes les mesures imposées par le RGPD. Elle précise certaines pratiques, comme le délai de notification en cas de violation de données, et annonce un futur schéma de certification européen.
La norme ISO/IEC 42001 pour l’intelligence artificielle
En décembre 2023, la norme ISO/IEC 42001 a été publiée pour fournir un système de management pour l’intelligence artificielle. Cette norme vise à encadrer les préoccupations éthiques et de sûreté des systèmes d’IA, en insistant sur la sécurité, l’équité, la transparence, et la qualité des données et des systèmes d’IA tout au long de leur cycle de vie. Elle propose un ensemble de mesures et de recommandations pour un développement et une utilisation responsables des systèmes d’IA.
Vers une harmonisation européenne des normes pour l’IA
Le CEN-CENELEC travaille à l’élaboration de normes harmonisées pour l’IA, à la demande de la Commission européenne. Ces standards viseront à faciliter la démonstration de la conformité au règlement européen sur l’IA, notamment en précisant les mesures appropriées de gestion des risques.
Pourquoi ces normes sont importantes ?
Les normes ISO/IEC 27701 et 42001 représentent un jalon crucial pour les organisations engagées dans le traitement des données personnelles et l’utilisation de l’IA. En adoptant ces standards, les entreprises peuvent non seulement démontrer leur engagement envers la protection de la vie privée et l’éthique dans l’IA, mais aussi renforcer leur conformité avec les régulations internationales et européennes. Elles constituent ainsi des outils précieux pour la mise en place d’une gouvernance responsable de l’information et de l’intelligence artificielle.
La protection des données personnelles et l’utilisation éthique de l’IA sont désormais plus que jamais au cœur des préoccupations des organisations et des autorités de régulation. L’adoption de ces normes marque une étape significative vers un numérique plus sûr et plus respectueux de la vie privée.
