Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/NIS2 / Securite/ISO 27701 : extension vie privée de l'ISO 27001
NIS2 / Securite

ISO 27701 : extension vie privée de l'ISO 27001

ISO 27701 est l'extension vie privée de l'ISO 27001 pour la gestion des données personnelles. Exigences, certification et lien avec le RGPD.

Par Thiébaut DevergrannePublie le 13 mars 2026Mis a jour le 13 mars 202610 min de lecture
Sommaire
  1. Positionnement de la norme ISO 27701
  2. Structure de la norme
  3. La correspondance avec le RGPD
  4. Le processus de certification
  5. Les avantages stratégiques de la certification
  6. Les recommandations de mise en oeuvre
  7. FAQ

La norme ISO/IEC 27701:2019 constitue l’extension de référence de la norme ISO 27001 pour la gestion des informations relatives à la vie privée. Publiée en août 2019 par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), elle specifie les exigences et fournit les lignes directrices pour la mise en oeuvre d’un système de management des informations relatives à la vie privée (PIMS – Privacy Information Management System). À l’heure ou la conformité au RGPD est devenue un impératif stratégique, cette norme offre un cadre structuré et certifiable pour démontrer la maîtrisé de la protection des données personnelles.

Positionnement de la norme ISO 27701

Une extension, pas une norme autonome

ISO 27701 n’est pas une norme autonome. Elle constitue une extension de l’ISO 27001 (sécurité de l’information) et de l’ISO 27002 (mesures de sécurité). Concrètement, une organisation ne peut obtenir la certification ISO 27701 que si elle est déjà certifiee ISO 27001 ou si elle met en oeuvre simultanément les deux normes. Le PIMS est une couche supplémentaire greffee sur le système de management de la sécurité de l’information (SMSI) existant.

Cette architecture intégrée présente un avantage majeur : elle évite la duplication des efforts entre sécurité de l’information et protection de la vie privée. Les processus de management (évaluation des risques, audit interne, revue de direction, amélioration continue) sont mutualises, et les mesures de sécurité de l’ISO 27001 sont enrichies par des mesures spécifiques à la vie privée.

Le champ d’application

ISO 27701 s’applique à toute organisation qui traité des données à caractère personnel, qu’elle intervienne en qualité de :

  • Responsable de traitement (PII controller) : l’entité qui déterminé les finalités et les moyens du traitement.
  • Sous-traitant (PII processor) : l’entité qui traité les données pour le compte du responsable de traitement.

La norme couvre l’ensemble des traitements de données personnelles, quels que soient leur volume, leur nature ou leur secteur d’activité. Elle est applicable aux organisations de toute taille, des PME aux grands groupes internationaux.

Structure de la norme

Les clauses d’extension (clauses 5 à 8)

ISO 27701 ajouté des exigences spécifiques à chaque clause de l’ISO 27001 :

Clause 5 – Exigences PIMS relatives à l’ISO 27001. Cette clause reprend les clauses 4 à 10 de l’ISO 27001 et ajouté des exigences spécifiques à la vie privée. Par exemple, le contexte de l’organisation (clause 4 de l’ISO 27001) doit être complète par l’identification des réglementations applicables en matière de protection des données (RGPD, lois nationales) et des parties intéressées dans ce domaine (personnes concernées, autorités de contrôle, sous-traitants).

Clause 6 – Lignes directrices PIMS relatives à l’ISO 27002. Cette clause enrichit chaque mesure de sécurité de l’ISO 27002 par des considérations spécifiques à la vie privée. Par exemple, la mesure relative au contrôle d’accès est complétée par des exigences de limitation de l’accès aux données personnelles au seul personnel autorisé et de traçabilité des accès.

Clause 7 – Lignes directrices supplémentaires pour les responsables de traitement. Cette clause contient les mesures spécifiques aux organismes agissant en qualité de responsable de traitement, couvrant notamment la collecte, la limitation des finalités, la minimisation, l’exactitude, la durée de conservation, les droits des personnes et la protection des données des la conception.

Clause 8 – Lignes directrices supplémentaires pour les sous-traitants. Cette clause couvre les mesures spécifiques aux sous-traitants, incluant les instructions du responsable de traitement, la confidentialité, la restitution et la destruction des données, et les obligations en matière de sous-traitance ultérieure.

Les annexes normatives

ISO 27701 comprend plusieurs annexes qui renforcent son caractère opérationnel :

  • Annexe A : mesures de référence spécifiques aux responsables de traitement (extension de l’Annexe A de l’ISO 27001).
  • Annexe B : mesures de référence spécifiques aux sous-traitants.
  • Annexe D : correspondance avec le RGPD (informative).
  • Annexe F : correspondance avec l’ISO 29100 (cadre de protection de la vie privée).

La correspondance avec le RGPD

Un outil de mise en conformité, pas un certificat de conformité

ISO 27701 a été conçue en tenant compte des exigences du RGPD, et son annexe D établit une correspondance détaillée entre les mesures de la norme et les articles du RGPD. Cette correspondance couvre notamment :

  • Les principes de traitement (article 5 du RGPD) : limitation des finalités, minimisation, exactitude, limitation de la conservation.
  • La licite du traitement (article 6 du RGPD) : la norme exige l’identification et la documentation d’une base légale pour chaque traitement.
  • Les droits des personnes (articles 12 à 22 du RGPD) : accès, rectification, effacement, portabilité, opposition.
  • La sécurité du traitement (article 32 du RGPD) : mesures techniques et organisationnelles appropriées.
  • L’analyse d’impact (article 35 du RGPD) : évaluation des risques pour les personnes concernées.
  • Le sous-traitant (article 28 du RGPD) : encadrement contractuel et opérationnel.

Il est essentiel de souligner que la certification ISO 27701 ne vaut pas certification de conformité au RGPD. Le RGPD ne prévoit pas de mécanisme de certification lie à cette norme, même si l’article 42 du RGPD envisagé des mécanismes de certification approuves par les autorités de contrôle. À ce jour, la CNIL n’a pas approuvé ISO 27701 comme mécanisme de certification au titre de l’article 42.

Néanmoins, la certification ISO 27701 constitue un indice fort de maturité en matière de protection des données et peut constituer un élément de preuve dans le cadre de l’accountability exigée par l’article 5, paragraphe 2, du RGPD.

Les limités de la correspondance

La correspondance entre ISO 27701 et le RGPD n’est pas complète. Certaines exigences du RGPD ne sont pas couvertes par la norme :

  • Les transferts internationaux (chapitre V du RGPD) ne sont que partiellement couverts.
  • Le régime des sanctions et les procédures devant les autorités de contrôle dépassent le périmètre d’une norme de management.
  • Les spécificités nationales (dispositions de la loi Informatique et Libertés, recommandations de la CNIL) ne sont pas intégrées dans une norme internationale.

Le processus de certification

Les prérequis

La certification ISO 27701 suppose :

  1. L’existence d’un SMSI certifie ISO 27001, ou la mise en oeuvre simultanee des deux normes.
  2. L’identification du rôle de l’organisation (responsable de traitement, sous-traitant ou les deux) pour chaque traitement.
  3. La mise en oeuvre des mesures supplémentaires de l’ISO 27701 adaptées au rôle identifie.
  4. La réalisation d’un audit interne couvrant le périmètre PIMS.
  5. La revue de direction intégrant les problématiques de vie privée.

Le deroulement de l’audit

L’audit de certification est conduit par un organisme de certification accrédité. Il comprend deux étapes :

  • Étape 1 : revue documentaire et évaluation de la maturité du PIMS.
  • Étape 2 : audit sur site verifiant la mise en oeuvre effective des mesures et leur efficacité.

L’auditeur verifie notamment que l’organisation a identifié l’ensemble des réglementations applicables en matière de protection des données, que les processus de gestion des droits des personnes sont opérationnels, que les mesures de sécurité spécifiques à la vie privée sont déployées et que le cadre d’amélioration continue fonctionne.

Le coût et la durée

Le coût de la certification ISO 27701 dépend de la taille de l’organisation, du nombre de traitements de données personnelles et de la maturité du SMSI existant. En ordre de grandeur, pour une organisation de taille intermédiaire :

  • Les coûts de mise en conformité (conseil, adaptation des processus, formation) représentent généralement entre 30 000 et 100 000 euros.
  • Les coûts d’audit de certification représentent entre 15 000 et 40 000 euros.
  • La durée de mise en oeuvre est typiquement de 6 à 12 mois pour une organisation déjà certifiee ISO 27001.

Les avantages stratégiques de la certification

La démonstration de l’accountability

Le RGPD impose un principe d’accountability (article 5, paragraphe 2) selon lequel le responsable de traitement doit être en mesure de démontrer sa conformité. La certification ISO 27701 constitue un moyen tangible de répondre à cette exigence en fournissant une preuve objective de la mise en oeuvre d’un système de management de la vie privée.

L’avantage concurrentiel

Dans les secteurs ou la protection des données est un critère de sélection des fournisseurs (secteur financier, santé, administration publique), la certification ISO 27701 constitue un différenciateur concurrentiel. Elle rassure les clients et les partenaires sur la maturité de l’organisation en matière de protection des données.

La rationalisation des audits

Les organisations certifiées ISO 27701 peuvent rationaliser les audits de conformité RGPD conduits par leurs clients et partenaires. Le certificat peut se substituer, au moins partiellement, aux questionnaires de conformité et aux audits sur site qui se multiplient dans les relations interentreprises.

La convergence avec NIS2 et DORA

Pour les organisations également soumises à la directive NIS2 ou au règlement DORA, la certification ISO 27701 s’inscrit dans une démarche cohérente de management intègre de la sécurité et de la vie privée. Les synergies avec les exigences de ces réglementations sont significatives, notamment en matière de gestion des risques, de gestion des incidents et de gouvernance.

Les recommandations de mise en oeuvre

Commencer par un diagnostic

Avant d’engager le processus de certification, il est recommandé de réaliser un diagnostic de maturité couvrant les exigences de l’ISO 27701. Ce diagnostic identifie les écarts par rapport à la norme et permet de prioriser les actions de mise en conformité.

Intégrer des la conception

Les principes de protection de la vie privée des la conception (privacy by design) doivent être intégrés dans les processus de développement et de gestion de projets de l’organisation, conformément à l’article 25 du RGPD et aux exigences de la clause 7.4 de l’ISO 27701.

Impliquer le DPO

Le DPO doit être pleinement implique dans le processus de mise en oeuvre et de maintien du PIMS. Son expertise en matière de protection des données est indispensable pour garantir la cohérence entre les exigences de la norme et les obligations réglementaires.

Former les équipes

La formation du personnel est un prérequis à la certification. L’ensemble des collaborateurs impliqués dans le traitement des données personnelles doivent être sensibilisés aux exigences de la norme et aux procédures associées. Les auditeurs internes doivent être spécifiquement formes aux exigences de l’ISO 27701.

FAQ

La certification ISO 27701 vaut-elle certification de conformité au RGPD ?

Non. La certification ISO 27701 atteste de la mise en oeuvre d’un système de management des informations relatives à la vie privée conforme à la norme, mais elle ne constitue pas un certificat de conformité au RGPD. Le RGPD prévoit un mécanisme spécifique de certification (article 42) qui n’est pas, à ce jour, opérationnellement lie à l’ISO 27701. Néanmoins, la certification ISO 27701 constitue un élément de preuve solide de la démarche d’accountability et peut faciliter les échanges avec les autorités de contrôle.

ISO 27701 est-elle accessible aux PME ?

Oui, ISO 27701 est applicable aux organisations de toute taille. Néanmoins, le prérequis d’un SMSI conforme à l’ISO 27001 représente un investissement significatif qui peut être disproportionné pour les très petites organisations. Des alternatives existent : la mise en oeuvre des principes de la norme sans viser la certification formelle, ou le recours à des approches simplifiées fondées sur les mesures les plus pertinentes au regard du profil de risque de l’organisation.

Comment s’articulent ISO 27701 et ISO 27001 en termes de périmètre de certification ?

Le périmètre de certification ISO 27701 doit être inclus dans le périmètre de certification ISO 27001 ou coincider avec celui-ci. L’organisation ne peut certifier ISO 27701 un périmètre qui n’est pas couvert par son SMSI ISO 27001. En pratique, le périmètre ISO 27701 couvre l’ensemble des traitements de données personnelles réalisés dans le périmètre du SMSI. Si le SMSI ne couvre qu’une partie des activités de l’organisation, seuls les traitements de données personnelles de cette partie seront couverts par la certification ISO 27701.

Articles lies

NIS2 / Securite

SecNumCloud : la qualification ANSSI du cloud de confiance

14 avril 2026 · 11 min
NIS2 / Securite

Notification de cyberattaque : qui prévenir, quand et comment

24 mars 2026 · 12 min
NIS2 / Securite

Pénalités NIS2 : montants des sanctions et régime d'application

23 mars 2026 · 12 min