Le sous-comité technique ISO/IEC JTC 1/SC 27 Information security, cybersecurity and privacy protection a publié, en mai 2023, une norme internationale donnant des lignes directrices à suivre pour réaliser des études d’impact sur la vie privée et un rapport technique donnant des bonnes pratiques à suivre en matière de sécurité et de protection de la vie privée lorsque sont utilisés des systèmes employant l’intelligence artificielle.
La nouvelle norme ISO/IEC 29134:2023 Information technology — Security techniques — Guidelines for privacy impact assessment (disponible dans le e-shop de l'ILNAS) s’adresse à toute organisation qui a des activités ou des projets pouvant mener à du traitement de données personnelles. Plus spécifiquement, la norme décrit une procédure à suivre pour réaliser des études d’impact sur la vie privée (Privacy Impact Assessment, ou PIA) afin de mesurer, dans un projet ou traitement donné, les risques associés aux données personnelles manipulées dans ce cadre. Un tel outil peut aider à déterminer si la mise en œuvre d’un projet est viable, en particulier en identifiant les risques à minimiser. Rappelons que dans certains cas, le fait de faire une PIA peut être une obligation, par exemple dans le cadre du règlement général sur la protection des données (RGPD). Enfin, la norme propose une structure pour rédiger un rapport de PIA.
Le nouveau rapport technique ISO/IEC TR 27563:2023 Security and privacy in artificial intelligence use cases — Best practices (disponible dans le e-shop de l'ILNAS) reprend les cas d’utilisation listés dans le rapport technique ISO/IEC TR 24030:2021 Information technology — Artificial intelligence (AI) — Use cases (publié en 2021 par le sous-comité technique de normalisation ISO/IEC JTC 1/SC 42 Artificial Intelligence) pour les étudier sous deux angles supplémentaires que sont la sécurité de l’information et la sécurité des données personnelles. Les cas d’utilisation en question couvrent un spectre large de domaines, parmi lesquels on trouve les secteurs de l’énergie et de la santé, la mobilité, les transports et la logistique, ou encore les fintech ou l’agriculture. Le nouveau rapport technique considère, pour chacun de ces cas, des aspects tels que les risques et menaces particulières et les contrôles qui peuvent être mis en place pour y remédier. Il est à noter qu’il fait partie de tout un ensemble de normes (publiées ou en développement) que l’ENISA a récemment mis en lumière dans sa publication de mars 2023 « Cybersecurity of AI and standardisation », en particulier en soutien au projet de règlement européen sur l’intelligence artificielle.
Parmi les missions du Département de la confiance numérique de l’ILNAS se trouve le suivi de développements normatifs en lien avec la sécurité de l’information. Pour toute question relative à cette mission, vous pouvez prendre contact avec ce département à l’adresse confiance-numerique@ilnas.etat.lu. Le marché peut également s’adresser à l’Organisme luxembourgeois de normalisation via l’adresse normalisation@ilnas.etat.lu pour avoir davantage d’informations en matière de participation à la normalisation au Luxembourg.