Pour compl\u00e9ter ces normes et afin de renforcer la protection des donn\u00e9es personnelles, la CNIL recommande la lecture de 2 normes ISO (attention, l\u2019acc\u00e8s est payant).<\/p>\n
En premier lieu, la norme ISO\/IEC 27701, qui a vu le jour en 2019 et d\u00e9finit :<\/p>\n
- \n
- un \u00ab syst\u00e8me de management de la protection de la vie priv\u00e9e \u00bb<\/strong> \u00e9tendu pour inclure les particularit\u00e9s des traitements de donn\u00e9es personnelles :\n
- \n
- d\u00e9termination du r\u00f4le de l\u2019organisme \u00e0 certifier (responsable de traitement, sous-traitant) ;<\/li>\n
- gestion unifi\u00e9e des risques informatiques pour l\u2019organisme et des risques pour la vie priv\u00e9e des personnes, d\u00e9signation d\u2019un responsable pour la protection de la vie priv\u00e9e ;<\/li>\n
- sensibilisation des personnels, classification des donn\u00e9es, protection des supports amovibles, gestion des acc\u00e8s et chiffrement des donn\u00e9es, sauvegarde des donn\u00e9es, journalisation des \u00e9v\u00e9nements ;<\/li>\n
- conditions des transferts de donn\u00e9es, protection de la vie priv\u00e9e d\u00e8s la conception et par d\u00e9faut (privacy by design and by default), gestion des incidents ;<\/li>\n
- conformit\u00e9 aux exigences l\u00e9gales et r\u00e9glementaires, etc. ;<\/li>\n<\/ul>\n<\/li>\n
- des mesures sp\u00e9cifiques aux traitements de donn\u00e9es personnelles<\/strong>, en tenant compte du r\u00f4le de l\u2019organisme (responsable de traitement, sous-traitant, sous-traitant de sous-traitant) :\n
- \n
- principes fondamentaux : finalit\u00e9 de traitement, base l\u00e9gale, recueil et retrait du consentement, inventaire des traitements, \u00e9valuation des impacts pour la vie priv\u00e9e ;<\/li>\n
- droits des personnes : information, acc\u00e8s, rectification, suppression, d\u00e9cision automatis\u00e9e ;<\/li>\n
- protection de la vie priv\u00e9e d\u00e8s la conception et par d\u00e9faut (privacy by design and by default) : minimisation, d\u00e9-identification et suppression des donn\u00e9es, dur\u00e9e de conservation ;<\/li>\n
- contrats de sous-traitance, transferts et partage de donn\u00e9es.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n
En compl\u00e9ment, la CNIL recommande la lecture de la norme ISO\/IEC 42001, qui a \u00e9t\u00e9 publi\u00e9e en d\u00e9cembre 2023, et qui d\u00e9finit un \u00ab syst\u00e8me de management pour l’intelligence artificielle \u00bb<\/strong> destin\u00e9 aux organismes qui fournissent ou utilisent des syst\u00e8mes d\u2019intelligence artificielle (IA).<\/p>\n
Cette norme s\u2019attache \u00e0 d\u00e9crire le processus pour g\u00e9rer les pr\u00e9occupations li\u00e9es \u00e0 la fiabilit\u00e9 des syst\u00e8mes d’IA : s\u00e9curit\u00e9, s\u00fbret\u00e9, \u00e9quit\u00e9, transparence, qualit\u00e9 des donn\u00e9es et des syst\u00e8mes tout au long du cycle de vie.<\/p>\n
En outre, elle donne des mesures op\u00e9rationnelles et des recommandations pour les mettre en \u0153uvre.<\/p>\n
![](\"https:\/\/www.weblex.fr\/sites\/default\/files\/actualites\/images\/ianormesiso.jpg\")
<\/p>\n","protected":false},"excerpt":{"rendered":"