Tout ce que vous devez savoir sur la mise à jour de la norme ISO 27701:2025

L'Organisation internationale de normalisation (ISO) a publié la version mise à jour Norme ISO/CEI 27701 pour la gestion des informations relatives à la protection de la vie privée en octobre 2025. Auparavant, une extension de ISO 27001 et la norme ISO 27002, la mise à jour ISO 27701:2025 établit ISO 27701 en tant que norme indépendante.

Dans cet article, nous explorons les différences entre la norme ISO 27701:2025 et sa version 2019 et discutons de leurs implications pour votre entreprise.

Qu’est-ce qui a changé dans la norme ISO 27701:2025 ?

Le passage de la norme ISO 27701 du statut d'extension à celui de norme à part entière s'accompagne d'un nouveau titre ; Sécurité de l'information, cybersécurité et protection de la vie privée – Systèmes de gestion de l'information sur la protection de la vie privée, reflétant son nouveau statut. Ceci remplace le titre précédent, Techniques de sécurité — Extension des normes ISO/IEC 27001 et ISO/IEC 27002 pour la gestion des informations relatives à la confidentialité.

Les principaux changements comprennent :

• La norme ISO 27701 est désormais une norme et non plus une extension de la norme ISO 27001.
• Les clauses de gestion 4.1 à 10.2 ont été ajoutées
• Les annexes ont été renommées et renumérotées.
• Les paramètres de confidentialité restent inchangés, avec les mêmes exigences.
• Une nouvelle annexe contenant 29 contrôles de sécurité de l'information a été ajoutée.
• De nouveaux contrôles de sécurité de l'information remplacent la clause 6 de la norme ISO 27701:2019.

Nous allons explorer ces changements plus en détail.

Restructuration des clauses de la norme ISO 27701:2019 vers la norme ISO 27701:2025

La norme a fait l'objet d'une restructuration, avec l'introduction des clauses de gestion 4.1 à 10.2 conformément aux normes ISO 27001 et ISO 27002.

La version précédente de la norme, ISO 27701:2019, comportait des clauses détaillant les exigences spécifiques aux PIMS (systèmes de gestion des informations de confidentialité) en relation avec l'ISO 27001, les exigences spécifiques aux PIMS en relation avec l'ISO 27002, des orientations supplémentaires pour les responsables du traitement des IIP (informations personnelles identifiables) et des orientations supplémentaires pour les sous-traitants d'IIP.

Article 1, champ d'application, fait désormais référence aux exigences relatives à l'établissement, à la mise en œuvre, au maintien et à l'amélioration continue d'un système autonome de gestion des informations sur la protection de la vie privée (PIMS) plutôt qu'à la construction d'un PIMS en tant qu'extension des normes ISO 27001 et ISO 27002.

Article 2, références normatives, Elle contient une liste de références plus courte, car la norme ISO 27701 est désormais une norme et non plus une extension. La mise à jour de 2025 ne fait référence qu'à la norme ISO/IEC 29100. Technologies de l'information — Techniques de sécurité — Cadre de confidentialité.

Les références supprimées de l'édition 2019 comprennent :

• ISO/CEI 27000, Technologies de l'information — Techniques de sécurité — Systèmes de gestion de la sécurité de l'information — Vue d'ensemble et vocabulaire
• ISO/IEC 27001:2013, Technologies de l'information — Techniques de sécurité — Systèmes de gestion de la sécurité de l'information — Exigences
• ISO/IEC 27002:2013, Technologies de l'information — Techniques de sécurité — Code de bonnes pratiques pour les contrôles de sécurité de l'information.

Article 3, termes, définitions et abréviations, Elle est élargie en raison de la portée plus étendue de la norme et comprend désormais des références aux objectifs, aux parties intéressées, etc., conformément aux autres normes ISO.

Article 4 est maintenant contexte de l'organisation. Cette clause exige des organisations qu'elles identifient les enjeux internes et externes susceptibles d'affecter leur capacité à atteindre les objectifs de leur système de gestion de l'information et de la performance (SGIP). Elles doivent également déterminer les besoins et les attentes des parties prenantes, définir le périmètre de leur SGIP, puis l'établir, le mettre en œuvre, le maintenir et l'améliorer.

Article 5 est maintenant directionCette clause remplace les exigences spécifiques aux systèmes de gestion de la protection des données (PIMS) liées à la norme ISO 27001 de 2019. Elle vise à garantir que la direction générale démontre son leadership et son engagement en matière de PIMS, établisse une politique de confidentialité appropriée et délègue les rôles, les responsabilités et les pouvoirs de manière adéquate.

Article 6 est maintenant Planification, Ce texte remplace les exigences spécifiques aux systèmes de gestion de la protection des données (SGPD) liées à la norme ISO 27002 de 2019. Il porte sur les actions à entreprendre pour gérer les risques et les opportunités, notamment l'évaluation et le traitement des risques liés à la protection des données. Les organisations doivent également définir des objectifs en matière de protection des données, planifier leur mise en œuvre et anticiper les évolutions de leur SGPD.

Article 7 est maintenant soutien, Cette clause remplace les recommandations supplémentaires de la norme ISO 27002 relatives aux responsables de la protection des données personnelles. Elle exige des organismes qu'ils veillent à ce que les ressources, les compétences, la sensibilisation, la communication et les informations documentées appropriées soient disponibles pour la mise en place, l'application, le maintien et l'amélioration continue du système de gestion de la protection des données personnelles.

Article 8 est maintenant la vente au détail XNUMXh/XNUMXCette clause remplace les recommandations supplémentaires de la norme ISO 27002 relatives aux sous-traitants de données personnelles. Elle impose aux organismes de planifier, de mettre en œuvre et de contrôler les processus nécessaires au respect des exigences de conformité. Elle exige également qu'ils réalisent des évaluations des risques liés à la protection des données et mettent en œuvre des mesures correctives.

Article 9, évaluation des performances Il s'agit d'un nouvel ajout à la norme. Cette clause porte sur le suivi, la mesure, l'analyse et l'évaluation, y compris les audits internes et les revues de direction.

Article 10, améliorationest également une nouveauté de la norme. Elle exige des organisations qu'elles prennent des mesures pour améliorer en permanence leur système de gestion de l'information de planification (PIMS).

Article 11, informations complémentaires sur les annexes, est un nouvel ajout et fournit des informations sur les annexes C, D, E et F.

Modifications apportées aux annexes

Les annexes de la norme ISO 27701 ont été renommées et renumérotées, mais les mécanismes de protection de la vie privée et les exigences restent inchangés. L'annexe A est désormais unique, alors qu'elle était auparavant divisée en deux annexes distinctes (une pour les sous-traitants et une pour les responsables du traitement des données personnelles).

Toutefois, de nouveaux contrôles de sécurité de l'information ont été ajoutés.

Nouveaux contrôles de sécurité de l'information

Les 29 nouveaux contrôles de sécurité de l'information figurent dans le tableau A.3 – Objectifs et contrôles des responsables du traitement et des sous-traitants de données personnelles. Ces contrôles comprennent :

• Politiques de sécurité des informations
• Classement des informations
• Gestion d'identité
• Des droits d'accès
• Aborder la sécurité des informations dans les accords avec les fournisseurs
• Sensibilisation, éducation et formation à la sécurité de l’information

Et plus encore.

Je suis déjà certifié ISO 27701, qu'est-ce que cela signifie pour moi ?

La date limite pour la transition vers la nouvelle norme ISO 27701 est octobre 2028. Cependant, de nombreuses mesures de sécurité de l'information de la nouvelle mise à jour ISO 27701:2025 sont directement alignées sur les exigences de la norme ISO 27001. Par conséquent, les organismes déjà certifiés ISO 27701, en tant qu'extension de la norme ISO 27001, devraient constater que la transition vers la norme ISO 27701:2025, en tant que norme distincte, se fera relativement sans difficulté.

Renforcez dès aujourd'hui votre politique de confidentialité des données.

La protection des données est un élément clé du cycle de conformité des organisations : sécurité de l’information, protection des données et gouvernance de l’IA contribuent à leur résilience. Les organisations qui intègrent la cyber-résilience s’imposent rapidement comme leaders de leur secteur et acquièrent un avantage concurrentiel. La norme ISO 27701 mise à jour facilite la mise en place d’un système de gestion de l’information sur la protection des données et l’amélioration globale des pratiques en la matière.

La plateforme et les outils IO sont prêts à vous accompagner dès maintenant : compréhension des changements, évaluation de leur impact sur les objectifs de confidentialité des données de votre organisation, conseils de mise en œuvre et transition de votre certification. Optimisez votre conformité dès aujourd’hui ! Réservez votre démo !