La sécurité dans les accords conclus avec les fournisseurs 

L’exigence A.15.1.2 précise :

« Les exigences applicables liées à la sécurité de l’information doivent être établies et convenues avec chaque fournisseur pouvant accéder, traiter, stocker, communiquer ou fournir des composants de l’infrastructure informatique destinés à l’information de l’organisation ».

Le respect de cette exigence impose la mise en place d’une politique contractuelle avec des clause dédiées à la sécurité des systèmes d’information et des données. Une stratégie d’ingénierie contractuelle doit être établie afin de renforcer les clauses des contrats avec les fournisseurs et sous-traitants concernant tous les aspects liés à la cybersécurité : l’ensemble de la chaîne d’approvisionnement doit donc être sécurisée. Il en est ainsi notamment des mesures de sécurité (une annexe dédiée devra être réalisée), des conditions d’audit ou encore des engagements de responsabilité et de pénalités.

Cartographie de la réglementation applicable

L’exigence A.18.1.1 impose que :

« Toutes les exigences légales, statutaires, réglementaires et contractuelles en vigueur, ainsi que l’approche adoptée par l’organisation pour satisfaire à ces exigences, doivent être explicitement définies, documentées et mises à jour pour chaque système d’information et pour l’organisation elle-même ».

Toute organisation se doit de respecter la réglementation applicable (tant européenne que nationale). La norme ISO 27001 met en œuvre une obligation de veille avec un suivi des évolutions législations et réglementaires auxquelles est soumise l’organisation. Dans le domaine de la cybersécurité, la croissance actuelle des réglementations est exponentielle (NIS 1 puis NIS 2, DORA, LPM, RGPD, etc.). Une cartographie de ces réglementations (accompagnée du suivi de la mise en œuvre des obligations qu’elles contiennent) est nécessaire notamment au regard des différents délais de notifications aux différentes autorités de contrôle.

La conformité à la norme ISO 27001 exige donc de disposer :

• d’un service de veille juridique ;
• d’une présentation de la réglementation de sorte à ce qu’elle puisse être comprise et déclinée de manière opérationnelle (et ce afin de sensibiliser les métiers).

La propriété intellectuelle, un enjeu essentiel pour protéger l’organisation

L’exigence A.18.1.2 dispose que :

« Des procédures appropriées doivent être mises en œuvre pour garantir la conformité avec les exigences légales, réglementaires et contractuelles relatives à la propriété intellectuelle et à l’usage des licences de logiciels propriétaires ».

La propriété intellectuelle désigne l’ensemble des droits accordés sur les créations de l’organisation et notamment les inventions et les logiciels. Assurer une parfaite conformité légale de l’organisation aux règles de propriété intellectuelle permet de protéger et de valoriser au mieux ses actifs immatériels et son savoir-faire.

La norme impose donc de mettre en œuvre des procédures appropriées visant à s’assurer que :

• l’organisation ne viole pas la propriété intellectuelle de tiers (suivi des licences utilisées y compris des typologies de licences open source) ;
• les actifs immatériels sont correctement protégés (brevet, dépôt de marque, conditions de licences, droit des bases de données, etc.) avec un suivi de la protection (pour rappel une marque est valable pendant dix ans à compter de son dépôt) ;
• les collaborateurs sont sensibilisés de manière régulière aux enjeux et bonnes pratiques en matière de propriété intellectuelle.

Dans un article dédié, MATHIAS AVOCATS vous informe de l’intérêt de réaliser une cartographie de votre propriété intellectuelle.

Ainsi, la stratégie à mettre en place concernant la propriété intellectuelle nécessite une intégration de clauses dédiées aux droits de propriété intellectuelle et adaptées aux différents cas d’usage.

Des mesures spécifiques pour protéger les données

L’exigence A.18.1.3 impose que :

« Les enregistrements doivent être protégés de la perte, de la destruction, de la falsification, des accès non autorisés et des diffusions non autorisées, conformément aux exigences légales, réglementaires, contractuelles et aux exigences métiers ».

La norme utilise le terme « enregistrements » pour renvoyer à l’expression plus communément usitée de « données ». En effet, cette exigence renvoi au besoin de prendre les mesures techniques et organisationnelles nécessaires afin de garantir la sécurité et la confidentialité des données, que ce soit des données techniques, financières ou commerciales.

Cette protection doit se décliner sous un angle juridique par l’élaboration de documentations dédiées destinées à sensibiliser et informer les collaborateurs, des clauses contractuelles adaptées, la mise en place de formations spécifiques, notamment sur les aspects juridiques de la cybersécurité, et l’instauration de procédures internes permettant de réagir en cas d’incident de sécurité ( et ce d’autant plus lorsque ces derniers comportent des violations de données à caractère personnel).

La protection de la vie privée et des données à caractère personnel

L’exigence A.18.1.4 prévoit que :

« La protection de la vie privée et la protection des données à caractère personnel doivent être garanties telles que l’exigent la législation ou les réglementations applicables, et les clauses contractuelles le cas échéant ».

De nombreuses législations tant européennes que nationales ont été adoptées ces dernières années, afin de renforcer les règles assurant la protection de la vie privée des personnes et de leurs données personnelles. En France, les organisations doivent notamment respecter et ce indépendamment des règlementations sectorielles :

• le RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données) ;
• la loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés modifiée ;
• son décret d’application (Décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés).

Cette mise en conformité impose le déploiement d’une gouvernance dédiée à la protection des données à caractère personnel, passant par l’information des personnes sur leurs droits, l’élaboration de politiques relatives aux traitements de données personnelles, la mise en place de registres des traitements ou encore d’analyses d’impacts. Le Data Protection Officer (DPO) doit être un acteur  de premier plan de cette gouvernance et doit donc être impliqué au plus tôt dans les actions de mise en conformité à la norme ISO 27001.

Une nouvelle fois, des clauses contractuelles sont visées par cette exigence et font notamment écho aux dispositions de l’article 28 RGPD qui imposent des dispositions particulières devant être intégrées dans un contrat entre un responsable de traitement et son sous-traitant. Le manquement à ces obligations fait l’objet régulièrement de délibération de la CNIL, comme celle récente condamnant la société PAP à une amende administrative de 100.000 euros au motif, entre autres, qu’un contrat conclu entre la société et un sous-traitant ne comportait pas les mentions requises par le RGPD (Délibération SAN-2024-002 du 31 janvier 2024).

Le respect de la réglementation relative aux mesures cryptographiques

L’exigence A.18.1.5 précise enfin que :

« Des mesures cryptographiques doivent être prises conformément aux accords, législation et réglementations applicables ».

La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) et son décret n°2007-663 du 2 mai 2007 posent en France le régime juridique applicable à la cryptologie (la norme n’utilisant pas la même terminologie que la loi française). Même si la loi pose comme principe que « l’utilisation des moyens de cryptologie est libre » (art. 30), il existe de nombreuses exigences juridiques régissant tous les aspects de l’usage des moyens de cryptologie à l’intérieur et à l’extérieur du territoire français (concernant par exemple la fourniture ou l’importation de moyens de cryptologie).

Il convient d’être particulièrement prudent quant à l’utilisation, à la commercialisation ou encore à l’import/export de solutions de cryptologie. En surcroît de la LCEN, certaines solutions de chiffrement peuvent être considérées comme des biens à double usage (pouvant avoir un usage civil et militaire) et font alors l’objet de mesures de contrôle renforcées (dans le cadre du Règlement (UE) 2021/821 instituant un régime de l’UE de contrôle des exportations, du courtage, de l’assistance technique, du transit et des transferts en ce qui concerne les biens à double usage).

La norme ISO/CEI 27001 recouvre ainsi une forte dimension juridique. Elle nécessite une « approche à 360° » des obligations qui permettront d’assurer le respect des exigences de la norme et/ou la certification et le maintien de cette dernière.

Spécialisé dans les questions numériques et de cybersécurité, MATHIAS AVOCATS intervient pour tous types de prestations juridiques permettant de se conformer aux exigences de la norme ISO/CEI 27001.

Contactez-nous !

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !