Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 28 mars 2026
Accueil/NIS2 / Securite/ISO 27701 : extension vie privee de l'ISO 27001
NIS2 / Securite

ISO 27701 : extension vie privee de l'ISO 27001

ISO 27701 est l'extension vie privee de l'ISO 27001 pour la gestion des donnees personnelles. Exigences, certification et lien avec le RGPD.

Par Thiebaut DevergrannePublie le 13 mars 2026Mis a jour le 13 mars 202610 min de lecture
Sommaire
  1. Positionnement de la norme ISO 27701
  2. Structure de la norme
  3. La correspondance avec le RGPD
  4. Le processus de certification
  5. Les avantages strategiques de la certification
  6. Les recommandations de mise en oeuvre
  7. FAQ

ISO 27701 : extension vie privee de l’ISO 27001

La norme ISO/IEC 27701:2019 constitue l’extension de reference de la norme ISO 27001 pour la gestion des informations relatives a la vie privee. Publiee en aout 2019 par l’Organisation internationale de normalisation (ISO) et la Commission electrotechnique internationale (IEC), elle specifie les exigences et fournit les lignes directrices pour la mise en oeuvre d’un systeme de management des informations relatives a la vie privee (PIMS – Privacy Information Management System). A l’heure ou la conformite au RGPD est devenue un imperatif strategique, cette norme offre un cadre structure et certifiable pour demontrer la maitrise de la protection des donnees personnelles.

Positionnement de la norme ISO 27701

Une extension, pas une norme autonome

ISO 27701 n’est pas une norme autonome. Elle constitue une extension de l’ISO 27001 (securite de l’information) et de l’ISO 27002 (mesures de securite). Concretement, une organisation ne peut obtenir la certification ISO 27701 que si elle est deja certifiee ISO 27001 ou si elle met en oeuvre simultanement les deux normes. Le PIMS est une couche supplementaire greffee sur le systeme de management de la securite de l’information (SMSI) existant.

Cette architecture integree presente un avantage majeur : elle evite la duplication des efforts entre securite de l’information et protection de la vie privee. Les processus de management (evaluation des risques, audit interne, revue de direction, amelioration continue) sont mutualises, et les mesures de securite de l’ISO 27001 sont enrichies par des mesures specifiques a la vie privee.

Le champ d’application

ISO 27701 s’applique a toute organisation qui traite des donnees a caractere personnel, qu’elle intervienne en qualite de :

  • Responsable de traitement (PII controller) : l’entite qui determine les finalites et les moyens du traitement.
  • Sous-traitant (PII processor) : l’entite qui traite les donnees pour le compte du responsable de traitement.

La norme couvre l’ensemble des traitements de donnees personnelles, quels que soient leur volume, leur nature ou leur secteur d’activite. Elle est applicable aux organisations de toute taille, des PME aux grands groupes internationaux.

Structure de la norme

Les clauses d’extension (clauses 5 a 8)

ISO 27701 ajoute des exigences specifiques a chaque clause de l’ISO 27001 :

Clause 5 – Exigences PIMS relatives a l’ISO 27001. Cette clause reprend les clauses 4 a 10 de l’ISO 27001 et ajoute des exigences specifiques a la vie privee. Par exemple, le contexte de l’organisation (clause 4 de l’ISO 27001) doit etre complete par l’identification des reglementations applicables en matiere de protection des donnees (RGPD, lois nationales) et des parties interessees dans ce domaine (personnes concernees, autorites de controle, sous-traitants).

Clause 6 – Lignes directrices PIMS relatives a l’ISO 27002. Cette clause enrichit chaque mesure de securite de l’ISO 27002 par des considerations specifiques a la vie privee. Par exemple, la mesure relative au controle d’acces est completee par des exigences de limitation de l’acces aux donnees personnelles au seul personnel autorise et de tracabilite des acces.

Clause 7 – Lignes directrices supplementaires pour les responsables de traitement. Cette clause contient les mesures specifiques aux organismes agissant en qualite de responsable de traitement, couvrant notamment la collecte, la limitation des finalites, la minimisation, l’exactitude, la duree de conservation, les droits des personnes et la protection des donnees des la conception.

Clause 8 – Lignes directrices supplementaires pour les sous-traitants. Cette clause couvre les mesures specifiques aux sous-traitants, incluant les instructions du responsable de traitement, la confidentialite, la restitution et la destruction des donnees, et les obligations en matiere de sous-traitance ulterieure.

Les annexes normatives

ISO 27701 comprend plusieurs annexes qui renforcent son caractere operationnel :

  • Annexe A : mesures de reference specifiques aux responsables de traitement (extension de l’Annexe A de l’ISO 27001).
  • Annexe B : mesures de reference specifiques aux sous-traitants.
  • Annexe D : correspondance avec le RGPD (informative).
  • Annexe F : correspondance avec l’ISO 29100 (cadre de protection de la vie privee).

La correspondance avec le RGPD

Un outil de mise en conformite, pas un certificat de conformite

ISO 27701 a ete concue en tenant compte des exigences du RGPD, et son annexe D etablit une correspondance detaillee entre les mesures de la norme et les articles du RGPD. Cette correspondance couvre notamment :

  • Les principes de traitement (article 5 du RGPD) : limitation des finalites, minimisation, exactitude, limitation de la conservation.
  • La licite du traitement (article 6 du RGPD) : la norme exige l’identification et la documentation d’une base legale pour chaque traitement.
  • Les droits des personnes (articles 12 a 22 du RGPD) : acces, rectification, effacement, portabilite, opposition.
  • La securite du traitement (article 32 du RGPD) : mesures techniques et organisationnelles appropriees.
  • L’analyse d’impact (article 35 du RGPD) : evaluation des risques pour les personnes concernees.
  • Le sous-traitant (article 28 du RGPD) : encadrement contractuel et operationnel.

Il est essentiel de souligner que la certification ISO 27701 ne vaut pas certification de conformite au RGPD. Le RGPD ne prevoit pas de mecanisme de certification lie a cette norme, meme si l’article 42 du RGPD envisage des mecanismes de certification approuves par les autorites de controle. A ce jour, la CNIL n’a pas approuve ISO 27701 comme mecanisme de certification au titre de l’article 42.

Neanmoins, la certification ISO 27701 constitue un indice fort de maturite en matiere de protection des donnees et peut constituer un element de preuve dans le cadre de l’accountability exigee par l’article 5, paragraphe 2, du RGPD.

Les limites de la correspondance

La correspondance entre ISO 27701 et le RGPD n’est pas complete. Certaines exigences du RGPD ne sont pas couvertes par la norme :

  • Les transferts internationaux (chapitre V du RGPD) ne sont que partiellement couverts.
  • Le regime des sanctions et les procedures devant les autorites de controle depassent le perimetre d’une norme de management.
  • Les specificites nationales (dispositions de la loi Informatique et Libertes, recommandations de la CNIL) ne sont pas integrees dans une norme internationale.

Le processus de certification

Les prerequis

La certification ISO 27701 suppose :

  1. L’existence d’un SMSI certifie ISO 27001, ou la mise en oeuvre simultanee des deux normes.
  2. L’identification du role de l’organisation (responsable de traitement, sous-traitant ou les deux) pour chaque traitement.
  3. La mise en oeuvre des mesures supplementaires de l’ISO 27701 adaptees au role identifie.
  4. La realisation d’un audit interne couvrant le perimetre PIMS.
  5. La revue de direction integrant les problematiques de vie privee.

Le deroulement de l’audit

L’audit de certification est conduit par un organisme de certification accredite. Il comprend deux etapes :

  • Etape 1 : revue documentaire et evaluation de la maturite du PIMS.
  • Etape 2 : audit sur site verifiant la mise en oeuvre effective des mesures et leur efficacite.

L’auditeur verifie notamment que l’organisation a identifie l’ensemble des reglementations applicables en matiere de protection des donnees, que les processus de gestion des droits des personnes sont operationnels, que les mesures de securite specifiques a la vie privee sont deployees et que le cadre d’amelioration continue fonctionne.

Le cout et la duree

Le cout de la certification ISO 27701 depend de la taille de l’organisation, du nombre de traitements de donnees personnelles et de la maturite du SMSI existant. En ordre de grandeur, pour une organisation de taille intermediaire :

  • Les couts de mise en conformite (conseil, adaptation des processus, formation) representent generalement entre 30 000 et 100 000 euros.
  • Les couts d’audit de certification representent entre 15 000 et 40 000 euros.
  • La duree de mise en oeuvre est typiquement de 6 a 12 mois pour une organisation deja certifiee ISO 27001.

Les avantages strategiques de la certification

La demonstration de l’accountability

Le RGPD impose un principe d’accountability (article 5, paragraphe 2) selon lequel le responsable de traitement doit etre en mesure de demontrer sa conformite. La certification ISO 27701 constitue un moyen tangible de repondre a cette exigence en fournissant une preuve objective de la mise en oeuvre d’un systeme de management de la vie privee.

L’avantage concurrentiel

Dans les secteurs ou la protection des donnees est un critere de selection des fournisseurs (secteur financier, sante, administration publique), la certification ISO 27701 constitue un differenciateur concurrentiel. Elle rassure les clients et les partenaires sur la maturite de l’organisation en matiere de protection des donnees.

La rationalisation des audits

Les organisations certifiees ISO 27701 peuvent rationaliser les audits de conformite RGPD conduits par leurs clients et partenaires. Le certificat peut se substituer, au moins partiellement, aux questionnaires de conformite et aux audits sur site qui se multiplient dans les relations interentreprises.

La convergence avec NIS2 et DORA

Pour les organisations egalement soumises a la directive NIS2 ou au reglement DORA, la certification ISO 27701 s’inscrit dans une demarche coherente de management integre de la securite et de la vie privee. Les synergies avec les exigences de ces reglementations sont significatives, notamment en matiere de gestion des risques, de gestion des incidents et de gouvernance.

Les recommandations de mise en oeuvre

Commencer par un diagnostic

Avant d’engager le processus de certification, il est recommande de realiser un diagnostic de maturite couvrant les exigences de l’ISO 27701. Ce diagnostic identifie les ecarts par rapport a la norme et permet de prioriser les actions de mise en conformite.

Integrer des la conception

Les principes de protection de la vie privee des la conception (privacy by design) doivent etre integres dans les processus de developpement et de gestion de projets de l’organisation, conformement a l’article 25 du RGPD et aux exigences de la clause 7.4 de l’ISO 27701.

Impliquer le DPO

Le DPO doit etre pleinement implique dans le processus de mise en oeuvre et de maintien du PIMS. Son expertise en matiere de protection des donnees est indispensable pour garantir la coherence entre les exigences de la norme et les obligations reglementaires.

Former les equipes

La formation du personnel est un prerequis a la certification. L’ensemble des collaborateurs impliques dans le traitement des donnees personnelles doivent etre sensibilises aux exigences de la norme et aux procedures associees. Les auditeurs internes doivent etre specifiquement formes aux exigences de l’ISO 27701.

FAQ

La certification ISO 27701 vaut-elle certification de conformite au RGPD ?

Non. La certification ISO 27701 atteste de la mise en oeuvre d’un systeme de management des informations relatives a la vie privee conforme a la norme, mais elle ne constitue pas un certificat de conformite au RGPD. Le RGPD prevoit un mecanisme specifique de certification (article 42) qui n’est pas, a ce jour, operationnellement lie a l’ISO 27701. Neanmoins, la certification ISO 27701 constitue un element de preuve solide de la demarche d’accountability et peut faciliter les echanges avec les autorites de controle.

ISO 27701 est-elle accessible aux PME ?

Oui, ISO 27701 est applicable aux organisations de toute taille. Neanmoins, le prerequis d’un SMSI conforme a l’ISO 27001 represente un investissement significatif qui peut etre disproportionne pour les tres petites organisations. Des alternatives existent : la mise en oeuvre des principes de la norme sans viser la certification formelle, ou le recours a des approches simplifiees fondees sur les mesures les plus pertinentes au regard du profil de risque de l’organisation.

Comment s’articulent ISO 27701 et ISO 27001 en termes de perimetre de certification ?

Le perimetre de certification ISO 27701 doit etre inclus dans le perimetre de certification ISO 27001 ou coincider avec celui-ci. L’organisation ne peut certifier ISO 27701 un perimetre qui n’est pas couvert par son SMSI ISO 27001. En pratique, le perimetre ISO 27701 couvre l’ensemble des traitements de donnees personnelles realises dans le perimetre du SMSI. Si le SMSI ne couvre qu’une partie des activites de l’organisation, seuls les traitements de donnees personnelles de cette partie seront couverts par la certification ISO 27701.

Restez informe sur la conformite

Recevez nos analyses et guides pratiques sur le RGPD, NIS2, AI Act et plus. Rejoint par 52 000+ professionnels.

Articles lies

NIS2 / Securite

Notification de cyberattaque : qui prevenir, quand et comment

24 mars 2026 · 12 min
NIS2 / Securite

Penalites NIS2 : montants des sanctions et regime d'application

23 mars 2026 · 12 min
NIS2 / Securite

Cyber-assurance : ce que couvrent les polices et obligations

22 mars 2026 · 11 min