La certification ISO, c’est un peu la réponse tarte à la crème, en matière d’audit des garanties essentielles des sous-traitants et prestataires. A tel point que dans les dossiers de candidature qui peuvent m’être confiés pour certains jurys, nous sont régulièrement pointés des certifications :
- éloignées du sujet : une IS09001 n’apporte ainsi que peu ou prou de gages quant à la sécurité de l’information
- totalement « fantaisistes » : l’ISO27002, par exemple, n’est pas certifiante. Tout propos contraire s’achemine doucement vers la qualification de « pratique commerciale trompeuse »
Le référentiel HDS donne du poids à la certification ISO27001
Bon, s’il y a un domaine où la certification a un poids, c’est en matière d’hébergement de données de santé. Ici, le périmètre et les exigences sont fixés par le référentiel HDS et leur respect est audité par un tiers indépendant et impartial (mais qui reste potentiellement un sous-traitant, attention !). Dès lors que le prestataire respecte le périmètre du certificat, il peut donc être considéré comme conforme.
L’ISO27001 démontre-t-elle une quelconque conformité?
En dehors de cette hypothèse, c’est le grand flou. Ou plutôt, c’était, jusqu’à ce que la Garante, la « CNIL italienne » indique, le 21 mars dernier, que cette certification ne pouvait être prise en compte, faute d’être reconnue au titre de l’article 42 du RGPD (GPDP, 21 mars 2024, LAZIOcrea S.p.A., n° 10002324).
Formellement, admettons.
Factuellement, la position retenue est sévère. En effet, la « DdA » (déclaration d’applicabilité) et le périmètre ISO permettent de déterminer le poids pouvant être accordé à la certification 27001 d’un prestataire. Reste juste à récupérer ces documents, le certificat étant à lui seul insuffisant.
Quid lorsque la certification est « recommandée » par une APD
C’est le cas par exemple de la 27701, fortement influencée par la CNIL. Mais ici, la position reste aujourd’hui purement doctrinale. Il semble qu’aucun « PIMS » n’ait à ce jour subi l’épreuve du feu.
Et en tout état de cause, cette norme étant une « extension » de la 27001, les vérifications des périmètres et DdA restent cruciaux dans l’évaluation de la certification.
L’audit des garanties, une systématisation impossible
En dehors du cas de l’HDS et d’éventuels certifications « Article 42 RGPD », impossible donc de systématiser l’examen des garanties d’un sous-traitant.
Mon conseil? Elaboré votre propre référentiel, en tenant compte des certifications revendiquées par le prestataire, de la sensibilité des données et de la criticité des activités prestées.
D’autres solutions pour auditer un prestataires ? Partagez-les en commentaires.
Des interrogations sur vos politiques d’audit ? Besoin d’aide pour auditer un contrat ? ou de vérifier votre PAS ? N’hésitez pas à me contacter.