ISO 27701:2025 — Désormais certifiable sans ISO 27001 préalable

·

Jusqu'en octobre 2025, la mise en œuvre de l'ISO 27701 exigeait de disposer — ou de mettre en œuvre simultanément — l'ISO/IEC 27001. Il s'agissait d'une extension, non d'un système de management complet. Avec la publication de l'ISO/IEC 27701:2025 le 14 octobre 2025, cette exigence disparaît : la norme devient un Système de Management de l'Information relative à la Vie Privée (PIMS) autonome, certifiable de manière indépendante. Ce changement ouvre la voie aux cliniques, cabinets d'avocats, plateformes numériques et à toute organisation qui traite des données à caractère personnel de manière intensive, mais qui n'a pas besoin — ou ne souhaite pas — assumer le coût et le périmètre complet d'une certification de sécurité de l'information sous ISO 27001.

Qu'est-ce que l'ISO 27701 et à quoi sert-elle ?

L'ISO/IEC 27701 est la norme internationale qui spécifie les exigences pour établir, mettre en œuvre, tenir à jour et améliorer un PIMS (Privacy Information Management System). Son objectif est double : fournir un cadre de gouvernance de la vie privée et servir de preuve démontrable de conformité au RGPD (Règlement Général sur la Protection des Données, UE 2016/679) et aux cadres équivalents dans d'autres territoires.

Contrairement à un audit interne de protection des données ou à une mission de conseil RGPD ponctuelle, la certification ISO 27701 implique qu'un organisme accrédité externe — AENOR, Bureau Veritas, SGS, TÜV, BSI ou autres — audite et certifie que votre système de management de la vie privée satisfait aux exigences de la norme. C'est un signal de confiance objectif, vérifié par des tiers.

Chez Summum Calidad, nous accompagnons les organisations en Castille-et-León et aux Canaries tout au long du processus de mise en œuvre et de préparation à l'audit de certification ; le certificat est délivré par l'organisme accrédité — nous vous amenons jusqu'à être prêts, sans surprises le jour de l'audit. Vous pouvez consulter le détail de notre service d'implémentation ISO 27701.

Les nouveautés clés de l'ISO 27701:2025

1. Norme indépendante : fin de la dépendance à l'ISO 27001

L'édition 2019 était techniquement une extension de l'ISO 27001 et de l'ISO 27002 : ses clauses opérationnelles (anciennement 6, 7 et 8) nécessitaient des renvois croisés constants à l'ISO 27001. Cela signifiait que vous ne pouviez pas vous certifier en matière de vie privée sans disposer au préalable — ou simultanément — de votre Système de Management de la Sécurité de l'Information certifié ou en cours de certification.

L'édition 2025 change cela fondamentalement. Les clauses 4 à 10 suivent désormais la structure harmonisée ISO (également appelée HLS, High Level Structure) et sont entièrement autonomes. Elles n'exigent aucune référence à l'ISO 27001. Les anciennes clauses 6, 7 et 8 ont été transformées en Annexes A et B, réorganisées en contrôles propres au PIMS. L'Annexe F inclut un tableau de correspondance complet pour ceux qui migrent depuis la version 2019.

2. Distinction renforcée entre responsables de traitement et sous-traitants

La norme 2025 aligne avec plus de précision la distinction RGPD entre responsable du traitement (controller) et sous-traitant (processor). L'Annexe A comprend des contrôles spécifiques pour les sous-traitants qui gèrent des informations à caractère personnel (PII) pour le compte de responsables de traitement externes. C'est essentiel pour les fournisseurs cloud, les plateformes SaaS, les sociétés d'externalisation de la paie ou toute organisation qui traite des données des clients de ses clients.

3. Exigences documentaires et probatoires renforcées

La clause 9 introduit une approche structurée et indépendante pour évaluer l'efficacité du PIMS : il ne suffit pas d'avoir des procédures, il faut démontrer par des preuves qu'elles fonctionnent. La clause 10 révisée exige que l'amélioration continue soit fondée sur des données de performance, et pas seulement sur des non-conformités. En termes pratiques : les indicateurs de vie privée, les registres d'incidents, les métriques d'exercice des droits et le suivi des transferts internationaux doivent être documentés et analysés de manière systématique.

4. Contrôles spécifiques pour les transferts internationaux

L'édition 2025 formalise huit contrôles dédiés aux transferts internationaux de données : base légale du transfert, documentation du pays de destination, registres de divulgation, notification des demandes de divulgation, procédure en cas de divulgations légalement contraignantes, gestion des sous-traitants et notification des modifications dans la chaîne de sous-traitance. Cela est particulièrement pertinent pour les groupes d'entreprises ayant des filiales en dehors de l'Espace Économique Européen ou pour les PME utilisant des services cloud hébergés aux États-Unis.

5. Intégration facilitée avec l'ISO 27001 pour ceux qui la possèdent

Pour les organisations qui disposent déjà de l'ISO 27001 ou qui souhaitent mettre en œuvre les deux normes, l'édition 2025 facilite l'intégration grâce à l'Annexe F. Les systèmes conjoints sont plus efficaces : les politiques, les procédures d'audit interne, la revue de direction et les cycles d'amélioration sont partagés. Ce n'est pas obligatoire, mais c'est recommandé si l'entreprise gère également des risques importants en matière de cybersécurité.

Comparaison : ISO 27701:2019 versus ISO 27701:2025

Caractéristique ISO 27701:2019 ISO 27701:2025
Nature Extension de l'ISO 27001/27002 Norme indépendante (PIMS autonome)
Prérequis ISO 27001 obligatoire Aucun prérequis
Structure Clauses 6-7-8 + renvois croisés ISO 27001 Clauses 4-10 HLS + Annexes A et B propres
Contrôles Adaptés depuis l'ISO 27002:2013 Contrôles PIMS propres (Annexes A et B), indépendants
Transferts internationaux Couverture limitée 8 contrôles spécifiques dédiés
Preuves et métriques Évaluation basique Clause 9 indépendante + amélioration basée sur les données
Alignement RGPD Général Renforcé : responsable/sous-traitant, transferts, cycle de vie des PII
Délai de transition (certifications existantes) Jusqu'en octobre 2028 (3 ans depuis la publication)

Qui bénéficie le plus de la nouvelle ISO 27701:2025 ?

Secteurs à forte intensité de données personnelles sans besoin de l'ISO 27001

La nouveauté la plus importante de l'édition 2025 est que vous n'avez plus besoin de mettre en œuvre un SMSI complet sous ISO 27001 pour obtenir une certification de la vie privée reconnue internationalement. Cela ouvre la norme à des profils qui étaient auparavant exclus ou la jugeaient trop coûteuse :

Organisations déjà certifiées ISO 27001

Pour ceux qui disposent déjà de l'ISO 27001, l'ISO 27701:2025 complète le SMSI par une couche spécifique de protection de la vie privée. L'intégration est simple : la politique, l'audit interne, la revue de direction et le cycle d'amélioration existants sont mis à profit. Le coût incrémental est modéré et la valeur différentielle auprès des clients et des autorités de réglementation est élevée.

La valeur probatoire face au RGPD et aux autorités de contrôle

L'article 42 du RGPD prévoit des mécanismes de certification formellement approuvés par les autorités de contrôle ; l'ISO 27701 n'a pas, à ce jour, été approuvée comme mécanisme de certification spécifique au sens de cet article. Néanmoins, l'ISO 27701:2025, une fois certifiée par un organisme accrédité, constitue une preuve solide que l'organisation a adopté des mesures techniques et organisationnelles appropriées (article 24 RGPD) et peut être invoquée lors d'une inspection de l'Agencia Española de Protección de Datos (AEPD) ou des autorités de contrôle d'autres États membres.

Il ne s'agit pas d'une exemption de sanctions, mais d'un facteur atténuant de poids. La pratique des autorités de contrôle reconnaît que l'adhésion à des normes reconnues peut être valorisée positivement lors de la détermination du montant de la sanction en application de l'article 83.2 RGPD. Dans le contexte d'amendes pouvant atteindre 4 % du chiffre d'affaires annuel mondial total (article 83.5 RGPD), disposer d'un système de management certifié et audité est un argument juridique et réputationnel de premier ordre.

De plus, le certificat facilite le processus d'analyse d'impact relative à la protection des données (AIPD), exigée par l'article 35 du RGPD lorsque le traitement est susceptible d'engendrer un risque élevé : disposer d'un PIMS opérationnel et audité fournit la base méthodologique que l'AIPD requiert.

Comment se déroule le processus de mise en œuvre ?

Le projet de mise en œuvre de l'ISO 27701 suit, en termes généraux, ces phases :

  1. Diagnostic de départ : analyse de l'état actuel de la gestion des données à caractère personnel, des flux de PII, des rôles responsable/sous-traitant, des transferts internationaux et des écarts par rapport aux exigences de la norme.
  2. Conception du PIMS : politique de confidentialité de haut niveau, registre des activités de traitement (RAT), inventaire des PII, attribution des rôles et des responsabilités, critères d'évaluation des risques pour la vie privée.
  3. Mise en œuvre des contrôles : développement ou adaptation des procédures opérationnelles (exercice des droits, gestion des violations, analyses d'impact, gestion des tiers et des sous-traitants, transferts internationaux).
  4. Audit interne et revue de direction : vérification que le système fonctionne conformément à ce qui a été conçu, identification des non-conformités et des opportunités d'amélioration.
  5. Audit de certification : phase 1 documentaire et phase 2 sur site par l'organisme certificateur. Summum Calidad vous accompagne dans la préparation et la résolution des constats.

Les délais typiques pour une organisation de taille moyenne (20-150 personnes) varient entre quatre et huit mois, selon le niveau de maturité préalable en matière de gestion de la protection des données et la complexité des traitements réalisés.

Transition depuis la version 2019 : les délais à connaître

Si votre organisation détient actuellement une certification ISO 27701:2019, l'organisme international d'accréditation (IAF) a établi une période de transition de trois ans à compter de la publication de la nouvelle édition. Cela signifie que le délai limite pour compléter l'audit de transition est octobre 2028. Après cette date, les certificats émis sous l'édition 2019 ne seront plus valides.

Toutefois, il n'est pas conseillé d'attendre le dernier moment. L'audit de transition requiert la mise à jour de la documentation du PIMS, l'adaptation des contrôles aux nouvelles Annexes A et B, et la démonstration que le système a fonctionné conformément aux nouvelles exigences. Planifier la transition avec deux ans de marge est la démarche prudente.

Questions fréquentes

Puis-je me certifier ISO 27701:2025 sans avoir ni prévoir l'ISO 27001 ?

Oui. L'édition 2025 supprime cette dépendance. Vous pouvez mettre en œuvre et certifier le PIMS de manière totalement autonome. Si vous décidez ultérieurement de mettre en œuvre l'ISO 27001, l'intégration entre les deux normes est très efficiente grâce à la structure harmonisée qu'elles partagent.

L'ISO 27701 me dispense-t-elle de respecter le RGPD ?

Non. La norme ne se substitue pas au RGPD ni ne vous exempte de ses obligations. Ce qu'elle fait, c'est fournir un système de management structuré qui vous aide à vous y conformer de manière démontrable et systématique. En cas d'inspection ou de sanction, le certificat constitue une preuve que l'organisation a adopté des mesures techniques et organisationnelles appropriées (article 24 RGPD), ce qui peut constituer un facteur atténuant.

Quelle est la différence entre l'ISO 27701 et la mise en conformité RGPD avec un cabinet conseil en protection des données ?

Un cabinet conseil RGPD standard élabore la documentation obligatoire : registre des activités de traitement, mentions d'information, contrats avec les sous-traitants et politique de confidentialité. L'ISO 27701 va plus loin : elle met en place un système de management avec un cycle d'amélioration continue, un audit interne, une évaluation de l'efficacité et, surtout, une certification externe vérifiable par des tiers. C'est la différence entre avoir les documents en règle et pouvoir démontrer objectivement que la vie privée est gérée.

Quelle est la durée de validité d'un certificat ISO 27701 ?

Le cycle de certification standard est de trois ans, avec des audits de surveillance annuels (ou semestriels, selon l'organisme) et un audit de renouvellement la troisième année. Le maintien du certificat exige que le PIMS reste opérationnel et en amélioration continue : ce n'est pas une démarche ponctuelle, mais un système vivant.