ISO 27701 : définition, certification & implémentation

October 2, 2025

Dans un paysage réglementaire exigeant comme celui du RGPD ou d’autres législations sur les données personnelles, la norme iso 27701 est une référence pour structurer la gestion de la vie privée en entreprise. Elle étend un système existant de sécurité informatique (généralement sous ISO 27001) pour y ajouter une gouvernance de la confidentialité. En s’insérant au sein des normes iso, elle apporte un cadre auditable pour piloter, contrôler et améliorer les pratiques de protection des données personnelles.

Dans cet article plus détaillé, nous allons parcourir :

  • les exigences concrètes de la norme (clauses, annexes, contrôles)
  • comment fonctionne l’extension à ISO 27001
  • les étapes pour préparer et réussir une certification ISO 27701
  • des exemples de contrôles précis
  • les limites et points de vigilance

Qu’est‑ce que la norme ISO/IEC 27701 ?

À quoi répond la norme ?

L’ISO/IEC 27701 (publiée en 2019) est conçue pour compléter l’ISO/IEC 27001 / ISO 27002. Elle introduit un Privacy Information Management System (PIMS) — un système de gestion dédié à la vie privée. Elle s’adresse à deux profils principaux :

  • Contrôleurs de données (PII controllers) : ceux qui déterminent les finalités et les moyens du traitement de données personnelles.
  • Sous‑traiteurs (PII processors) : ceux qui traitent les données pour le compte d’un contrôleur.

La norme fournit des lignes directrices pour les deux rôles, tout en s’appuyant sur la structure de l’ISMS déjà présent.

Structure et architecture de la norme

L’iso 27701 se compose principalement de :

  • Clauses 5 à 8 : ce sont les parties « exigence / guidance » spécifiques à la vie privée dans le contexte d’un SMSI (système de management de la sécurité de l’information).
    • Clause 5 : exigences PIMS liées à ISO 27001
    • Clause 6 : alignement avec ISO 27002 (guidance sur les contrôles de sécurité à adapter à la vie privée)
    • Clause 7 : contrôles et guidance pour les PII controllers
    • Clause 8 : contrôles et guidance pour les PII processors
  • Annexes A à F :
    • Annexe A : contrôle de référence pour les contrôleurs PII
    • Annexe B : contrôle pour les processeurs PII
    • Annexe C : correspondance avec la norme ISO/IEC 29100 (cadre de confidentialité)
    • Annexe D : cartographie entre ISO 27701 et le RGPD
    • Annexe E : correspondance avec ISO 27018 et ISO 29151 (contrôles liés au PII dans le cloud, protections additionnelles)
    • Annexe F : guide d’application de ISO 27701 sur ISO 27001/27002

L’architecture est pensée pour que l’implémentation soit fluide pour une organisation déjà familière avec ISO 27001.

Nombre de contrôles et complexité

La norme ne se résume pas à quelques bonnes pratiques : elle comporte un nombre significatif de contrôles :

  • Environ 184 contrôles sont mentionnés dans le cadre d’ISO 27701, combinant contrôles existants (issus de l’ISO 27002) et ajouts pour la vie privée.
  • Parmi ces contrôles, on distingue les contrôles spécifiques aux controllers et aux processors.
  • Par exemple, la section 7 (pour les contrôleurs) introduit 31 nouveaux contrôles, tandis que la section 8 (pour les processeurs) en introduit 18.
  • De plus, certaines clauses de sécurité (dans ISO 27002) sont revisitées dans ISO 27701 pour les adapter au contexte de la vie privée (par exemple, les contrôles d’accès, la gestion des accès privilégiés, etc.).
  • Un contrôle concret illustratif : la clause 6.6.4 (accès systèmes / applications) donne des sous‑clauses qui couvrent la restriction d’accès, les procédures de login sécurisées, la gestion des mots de passe, l’accès au code source et l’usage des utilitaires privilégiés.

Ces chiffres montrent l’envergure de l’implémentation nécessaire, mais aussi la couverture fine proposée par la norme.

Intégration avec ISO 27001

L’une des forces de ISO 27701 est qu’elle s’insère comme extension à un système ISO 27001 déjà en place. Cela signifie :

  • On ne met pas en place un système parallèle, mais on étend le SMSI existant.
  • Les processus de pilotage, de revue de direction, de gestion des risques, de planification, etc., peuvent être partagés ou adaptés.
  • Le certificat ISO 27701 ne peut être obtenu qu’en extension du certificat ISO 27001 (il n’existe pas de certification ISO 27701 « seule »).
  • Du point de vue audit, l’auditeur devra vérifier non seulement les contrôles de sécurité, mais aussi les contrôles spécifiques de la vie privée, ainsi que leur cohérence dans le système.

Pourquoi viser la certification ISO 27701 ?

Valeur et bénéfices concrets

Une certification ISO 27701 apporte plusieurs résultats tangibles :

  1. Crédibilité renforcée — montrer aux clients, partenaires, autorités que l’organisation est sérieuse sur la protection des données.
  2. Alignement réglementaire — faciliter la conformité au RGPD (et à d’autres lois sur la vie privée) grâce à la cartographie entre la norme et le RGPD.
  3. Gestion des risques structurée — le PIMS permet de détecter, surveiller et déclencher des actions correctives sur les risques liés à la vie privée.
  4. Optimisation des moyens — en utilisant les structures existantes de l’ISMS, on limite la redondance et les efforts superflus.
  5. Avantage compétitif — dans les appels d’offres ou dans les relations avec des acteurs sensibles aux questions de confidentialité.

Limites et risques à considérer

  • La certification ne garantit pas une conformité légale totale au RGPD : les exigences de la loi peuvent dépasser ce que la norme impose.
  • La mise en œuvre exige une coordination forte entre les services techniques, juridiques, métiers.
  • Cela peut demander un investissement notable (temps, ressources, outils).
  • Le maintien de la certification requiert des audits réguliers, des revues et une culture de l’amélioration continue.

Comment obtenir une certification ISO 27701 ?

Étapes clés du processus

Voici un chemin typique, étape par étape :

  1. Audit de maturité ou analyse des écarts (gap analysis) — comparer la situation existante avec les exigences d’ISO 27701.
  2. Définir le périmètre du PIMS — quels traitements de données, quelles entités, quels systèmes, quels processus sont inclus.
  3. Mettre en place les contrôles manquants — politiques de confidentialité, gestion des droits d’accès, procédures de notification des violations, etc.
  4. Former les équipes — sensibilisation, rôles et responsabilités, processus internes.
  5. Audit interne — vérifier que le PIMS est opérationnel et conforme avant audit externe.
  6. Choisir un organisme de certification accrédité — pour conduire les audits de certification.
  7. Audit de certification (phase 1 + phase 2) — l’auditeur vérifie la conception, puis l’efficacité opérationnelle des contrôles.
  8. Actions correctives en cas de non-conformité — adresser les écarts détectés.
  9. Obtention du certificat ISO 27701 — extension du certificat ISO 27001.
  10. Surveillance et audits périodiques — souvent des audits de surveillance chaque année, et un renouvellement tous les 3 ans.

Astuces pour réussir l’audit

  • Documenter tout : politiques, procédures, enregistrements d’incidents, preuves d’actions.
  • S’assurer de l’appropriation par les équipes métier, pas seulement l’IT.
  • Réaliser des tests internes et des revues de conformité avant l’audit externe.
  • Prévoir des audits blancs pour s’habituer à l’exercice externe.

Exemples de contrôles tirés de la norme

Pour donner une idée concrète, voici quelques contrôles précis issus de la norme ISO 27701 :

  • 6.6.4 — Contrôle d’accès système / application
    Ce contrôle impose des restrictions sur l’accès aux applications et aux systèmes, des procédures de login sécurisé, des règles de gestion des mots de passe, des contrôles sur l’accès au code source, ou encore l’usage de programmes utilitaires privilégiés.
  • 7.x (contrôleurs de données)
    Par exemple, un contrôle pour s’assurer que les personnes concernées peuvent exercer leurs droits (accès, rectification, suppression) via des procédures explicites.
  • 8.x (processeurs de données)
    Par exemple, sécuriser la transmission des données vers le contrôleur ou prévoir des mesures contractuelles avec le contrôleur pour garantir un niveau de sécurité satisfaisant.

Ces contrôles s’intègrent dans le système global et doivent être opérationnels, vérifiables, documentés.

Où obtenir un ISO 27701 PDF légalement ?

  • On peut se procurer la version officielle via les organismes de normalisation (ISO, AFNOR, BSI).
  • Certains organismes publient des guides d’implémentation en PDF (version partielle) pour aider les praticiens.
  • Ces versions PDF d’accompagnement comportent souvent le sommaire, les définitions, des exemples de contrôles, mais ne remplacent pas la version normative complète.

Foire aux questions — FAQ

La norme ISO 27701 remplace‑t‑elle le RGPD ?

Non, elle ne le remplace pas. Elle propose un référentiel pour aider à structurer la conformité, mais les obligations légales (articles de loi, jurisprudence, décisions d’autorité) restent souveraines.

Peut‑on appliquer ISO 27701 sans ISO 27001 ?

Non. ISO 27701 est conçu pour être une extension. Pour obtenir la certification ISO 27701, il faut déjà avoir (ou implémenter en parallèle) ISO 27001.

Pour quel type d’organisation ISO 27701 est‑elle utile ?

Elle est particulièrement utile pour les entreprises qui manipulent des données personnelles sensibles, font des traitements volumineux, opèrent dans des secteurs réglementés (santé, finance, RH…), ou veulent démontrer une maturité de gouvernance.

Quel coût faut‑il prévoir pour la certification ISO 27701 ?

Le coût dépend beaucoup de la taille, de la complexité des traitements, du niveau de maturité initial. Il inclut : ressources internes (temps, formation, adaptation), audit externe, maintien du système, outils/documentation.

Conclusion
L’iso 27701 est une des meilleures manières de faire converger les exigences de confidentialité et de sécurité dans une approche unifiée. En l’ajoutant à un système ISO 27001 déjà existant, elle offre un cadre structuré pour piloter la vie privée dans vos opérations. Mais obtenir une certification ISO 27701 ne se fait pas sans effort : il faut bien préparer le terrain, documenter, coordonner les équipes métiers et sécurité, et prouver que les contrôles sont réellement appliqués.

Modèle de résiliation de contrat de maintenance informatique

Téléchargez gratuitement

Derniers articles

Voir tous les articles
ISO 27002 : définition, enjeux et mise en oeuvre

ISO 27002 : définition, enjeux et mise en oeuvre

Que contient la norme ISO 27002, ? A quoi elle sert ? comment la différencier des autres ?

Lire l'article
1/10/2025
ISO 27005 : norme, principes, formation et mise en œuvre

ISO 27005 : norme, principes, formation et mise en œuvre

Qu’est la norme ISO 27005 ? Quel est son rôle dans la gestion des risques ? Explications.

Lire l'article
29/9/2025