Pourquoi la norme ISO 27701 a-t-elle été révisée ?
La norme ISO 27701:2019 a été publiée comme une extension des normes ISO 27001 et ISO 27002, ajoutant des exigences et des contrôles spécifiques à la protection de la vie privée aux systèmes de gestion de la sécurité de l'information existants. Bien que cette approche ait présenté des avantages, elle a engendré des problèmes pratiques : les organismes devaient obtenir la certification ISO 27001 avant de pouvoir être certifiés ISO 27701, les contrôles relatifs à la protection de la vie privée étaient dispersés dans plusieurs articles et la structure ne correspondait pas clairement aux pratiques de gestion de la protection de la vie privée au sein des organisations.
La révision de 2025 traite tous ces problèmes. L'ISO 27701:2025 est une système de gestion autonome standard avec son propre ensemble complet d'exigences dans les clauses 4 à 10, une version remaniée Annexe A contenant 78 contrôles de confidentialité clairement catégorisés, et de nouvelles annexes cartographiques qui relient la norme à GDPR, la norme ISO 29100 et sa version de 2019. Pour un aperçu complet des changements, consultez notre guide. Quoi de neuf dans la norme ISO 27701:2025 ?.
Comment la structure a-t-elle changé ?
Le changement le plus fondamental est que la norme ISO 27701:2025 n'est plus une norme d'extension. Il s'agit d'une norme complète et autonome de système de gestion des informations relatives à la protection de la vie privée (PIMS).
| Aspect | ISO 27701: 2019 | ISO 27701: 2025 |
|---|---|---|
| Type standard | Extension à la norme ISO 27001/ISO 27002 | norme de système de gestion autonome |
| Prérequis | Certification ISO 27001 requise | Aucun prérequis ; certification autonome possible |
| clauses du système de gestion | Articles 4 à 10 de la norme ISO 27001 complétés | Contient ses propres clauses complètes 4 à 10 |
| emplacement des contrôles de confidentialité | Articles 7 (contrôleur) et 8 (processeur) avec commandes intégrées | Annexe A avec trois tableaux : A.1 Contrôleur, A.2 Processeur, A.3 Partagé |
| Conseils de mise en œuvre | Intercalées avec des contrôles normatifs | Séparé en annexe B (normative) |
| L'évaluation des risques | Processus étendu de gestion des risques liés à la sécurité de l'information selon la norme ISO 27001 | Évaluation des risques liés à la confidentialité dédiée dans Article 6 |
| Déclaration d'applicabilité | Extension du référentiel d'architecture ISO 27001 | SoA autonome couvrant les contrôles de l'annexe A |
| Changement climatique | Non adressé | Inclus dans Articles 4.1 et 4.2 considérations contextuelles |
| Zertifizierung beitragen | Toujours associé à la norme ISO 27001 | Autonome ou combiné, au choix de l'organisation |
Ce changement structurel signifie que les organisations souhaitant obtenir une certification de protection des données n'ont plus besoin de mettre en place au préalable un système complet de gestion de la sécurité de l'information. Pour plus de détails sur ce qu'implique une certification autonome, consultez notre [lien vers la documentation]. guide de certification autonome.
Articles 4 à 10 : exigences relatives aux systèmes de gestion autonomes
Dans l'édition 2019, les articles 5 à 8 complétaient les articles correspondants de la norme ISO 27001. L'édition 2025 contient des articles entièrement autonomes.
- Article 4 (Contexte) — Définit de manière indépendante le périmètre du PIMS, y compris la nouvelle exigence de prendre en compte la pertinence en matière de changement climatique
- Article 5 (Direction) — Définit les responsabilités de la haute direction en matière de protection de la vie privée, y compris une politique de confidentialité et la répartition des rôles.
- Article 6 (Planification) — Introduit un processus dédié d'évaluation et de traitement des risques liés à la protection de la vie privée, distinct de la gestion des risques liés à la sécurité de l'information
- Article 7 (Soutien) — Couvre les ressources, les compétences, la sensibilisation, la communication et les informations documentées pour le PIMS
- Article 8 (Opération) — Planification opérationnelle et contrôle des processus de protection de la vie privée
- Article 9 (Évaluation des performances) — Suivi, mesure, audit interne et revue de direction du PIMS
- Article 10 (Amélioration) — Gestion des non-conformités, actions correctives et amélioration continue
Cela signifie qu'une organisation peut concevoir et certifier un système complet de gestion des informations relatives à la protection de la vie privée sans faire référence à la norme ISO 27001. Pour une présentation détaillée, consultez notre [lien/document/guide]. Guide des exigences de la norme ISO 27701:2025.
Comment la structure de contrôle de l'annexe A a-t-elle été réorganisée ?
L'édition 2019 a intégré des contrôles de protection de la vie privée dans les articles 7 et 8, mêlant exigences normatives et recommandations d'application. Il est ainsi devenu difficile de distinguer ce qui était obligatoire de ce qui était consultatif, ce qui a compliqué l'élaboration d'une déclaration d'applicabilité.
La norme ISO 27701:2025 adopte une approche totalement différente. Tous les contrôles de confidentialité sont désormais intégrés. Annexe A, organisés en trois tableaux clairs :
| lampe de table | Domaine | Nombre de contrôles | S'applique à |
|---|---|---|---|
| Tableau A.1 | Contrôles du contrôleur PII | 31 | Les organisations agissant en tant que responsables du traitement des données |
| Tableau A.2 | Contrôles du processeur PII | 18 | Organisations agissant en tant que sous-traitants de données |
| Tableau A.3 | Contrôles partagés | 29 | Toutes les organisations, quel que soit leur rôle |
Les recommandations de mise en œuvre ont été déplacées à l'annexe B, qui est normative et utilise le conditionnel pour formuler des recommandations. Cette séparation facilite l'audit de la norme et sa mise en œuvre par les organisations, car il est possible d'identifier précisément les contrôles obligatoires et les recommandations qui les accompagnent.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Qu’est-il arrivé aux plus de 150 commandes de l’édition 2019 ?
L'édition 2019 comprenait des contrôles répartis dans les articles 6, 7 et 8 (environ 49 contrôles spécifiques à la protection de la vie privée dans les articles 7 et 8, ainsi que plus de 90 sous-articles relatifs à la sécurité des données personnelles dans l'article 6), dont beaucoup étaient des extensions des contrôles de la norme ISO 27002. L'édition 2025 comporte 78 contrôles dans l'annexe A. Cela ne représente pas une réduction du champ d'application. Au contraire, les contrôles ont été consolidés, restructurés et, dans de nombreux cas, combinés en raison de chevauchements.
Principaux changements dans le paysage du contrôle :
- Consolidation — Les contrôles connexes qui étaient répartis dans plusieurs clauses en 2019 ont été fusionnés en un seul contrôle global en 2025.
- Catégorisation plus claire — Les commandes sont désormais explicitement affectées aux catégories contrôleur, processeur ou partagées, ce qui élimine toute ambiguïté.
- Suppression des doublons L’édition 2019 contenait des contrôles qui faisaient double emploi avec les exigences de la norme ISO 27002. L’édition 2025 possède son propre ensemble de contrôles dédiés, éliminant ainsi les chevauchements inutiles.
- Nouveaux contrôles — Certains domaines ont bénéficié de contrôles nouveaux ou considérablement renforcés, notamment en matière de prise de décision automatisée (A.1.3.11 Prise de décision automatisée), la désidentification et l'anonymisation (A.1.4.6 Dé-identification et suppression), et des pratiques de développement sécurisées (A.3.27 Cycle de vie du développement sécurisé)
Pour une correspondance détaillée entre les jeux de contrôle de 2019 et 2025, voir la norme ISO 27701:2025. Annexe F, qui fournit un tableau de correspondance complet montrant comment chaque contrôle de 2019 correspond à son équivalent de 2025.
Quelles nouvelles annexes ont été ajoutées ?
L’édition 2025 introduit des annexes cartographiques mises à jour et une annexe entièrement nouvelle (annexe F) ainsi que les annexes A et B restructurées :
| Annexe | Objet | Type | Interet |
|---|---|---|---|
| A | Contrôles de confidentialité | Règlements | 78 contrôles obligatoires répartis dans 3 tableaux (contrôleur, processeur, partagé) |
| B | Conseils de mise en œuvre | Règlements | Instructions détaillées pour la mise en œuvre de chaque contrôle de l'annexe A |
| C | Correspondance avec la norme ISO/IEC 29100 | Informatif | Contrôles liés aux 11 principes de confidentialité de la norme ISO 29100 |
| D | Correspondance avec le RGPD | Informatif | Associe les contrôles aux articles pertinents du RGPD pour assurer la conformité. |
| E | Correspondance avec les normes ISO 27018 et ISO 29151 | Informatif | Conformité aux normes de confidentialité du cloud et de protection des données personnelles. |
| F | Conformité avec la norme ISO 27701:2019 | Informatif | Cartographie complète des contrôles entre 2019 et 2025 pour la planification de la transition |
L'inclusion de Annexe D La cartographie des exigences du RGPD est particulièrement importante pour les organisations européennes, car elle fournit un référentiel officiel permettant de vérifier la conformité des contrôles de la norme ISO 27701 avec les articles spécifiques du RGPD. Cela facilite considérablement l'utilisation de la certification ISO 27701 comme preuve de conformité au RGPD.
Quelles sont les principales différences pratiques pour la mise en œuvre ?
Au-delà des changements structurels, plusieurs différences pratiques influent sur la manière dont les organisations mettent en œuvre la norme :
- Évaluation des risques liés à la vie privée — L’article 6 exige désormais une procédure d’évaluation des risques liés à la protection de la vie privée distincte de l’évaluation des risques liés à la sécurité de l’information. Cette procédure doit porter spécifiquement sur les risques encourus par les personnes concernées (données personnelles), et non pas seulement sur les risques encourus par l’organisation.
- Déclaration d'applicabilité — Vous devez produire une déclaration d'application (SoA) pour les contrôles de l'annexe A, documentant les contrôles applicables, la justification de leur inclusion ou exclusion, et leur état de mise en œuvre. Il s'agit désormais d'une exigence explicite, et non plus d'une exigence héritée de la norme ISO 27001.
- Changement climatique Suite à la modification de 2024 de toutes les normes ISO relatives aux systèmes de management, les articles 4.1 et 4.2 exigent désormais des organismes qu'ils examinent la pertinence du changement climatique pour leur système de management environnemental. Il s'agit d'une analyse succincte et non d'une évaluation environnementale détaillée.
- Piste d'audit plus claire La séparation des contrôles normatifs (annexe A) et des lignes directrices de mise en œuvre (annexe B) simplifie la préparation des audits. Les auditeurs évaluent par rapport à l'annexe A ; l'annexe B fournit le contexte.
- Documentation simplifiée — Comme la norme est autonome, les organisations n'ont pas besoin de faire de références croisées entre les normes ISO 27001 et ISO 27002 pour comprendre leurs obligations. Tout est regroupé dans un seul document.
Impact sur la documentation existante
Les organisations qui effectuent la transition de 2019 à 2025 doivent s'attendre à mettre à jour plusieurs documents clés :
- Politique de confidentialité — Doit refléter le périmètre du PIMS autonome plutôt que de faire référence à la norme ISO 27001 ISMS
- Méthodologie d'évaluation des risques — Il est nécessaire de prendre en compte les risques spécifiques liés à la protection de la vie privée des personnes concernées, et pas seulement les risques liés à la sécurité de l'information au sein de l'organisation.
- Déclaration d'applicabilité — Doit être reconstruit conformément aux 78 contrôles de l'annexe A, avec justifications pour l'inclusion ou l'exclusion de chacun d'eux.
- Traitement des dossiers — Les exigences de contrôle relatives aux registres de traitement (A.1.2.9 Registres de traitement des données personnelles et A.2.2.7 Registres de traitement des données personnelles) sont définies plus explicitement en 2025
- programme d'audit interne — Les critères d’audit doivent faire référence à la structure des clauses de 2025 et aux contrôles de l’annexe A
Pour un aperçu complet des exigences de 2025, consultez notre Guide des exigences de la norme ISO 27701:2025.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Qu’est-ce que cela signifie pour les organisations actuellement certifiées jusqu’en 2019 ?
Si votre organisation est déjà certifiée ISO 27701:2019, la transition vers la version 2025 exige une planification rigoureuse, mais ne signifie pas repartir de zéro. La majeure partie du travail déjà accompli reste valable. Vos politiques de confidentialité, vos registres de traitement et la plupart de vos procédures opérationnelles existantes seront maintenus, avec des mises à jour, plutôt que d'être entièrement remplacés.
Les principaux domaines nécessitant une attention particulière sont :
- Analyse des écarts par rapport à l'annexe A — Faites correspondre vos contrôles existants de 2019 aux 78 contrôles de l'annexe A à l'aide de Annexe F à titre de référence. Identifiez les nouveaux contrôles que vous n'avez pas encore abordés.
- Réévaluation des risques liés à la protection de la vie privée — Votre méthodologie d'évaluation des risques pourrait nécessiter une mise à jour afin de refléter les exigences de l'article 6, qui portent spécifiquement sur les risques liés aux données personnelles des personnes concernées plutôt que sur les risques liés à la sécurité de l'information organisationnelle.
- Reconstruction de SoA — Votre déclaration d’applicabilité doit être réécrite conformément à la nouvelle structure de l’annexe A, avec des justifications pour chacun des 78 contrôles.
- Examen de l'indépendance — Si vous envisagez de faire certifier la norme ISO 27701:2025 comme norme autonome, assurez-vous que votre documentation PIMS est complète et ne dépend pas de références à votre système de management de la sécurité de l'information (SMSI) ISO 27001.
Quel est le calendrier de transition ?
Les organisations actuellement certifiées ISO 27701:2019 doivent passer à l'édition 2025 d'ici à 2025. Octobre 2028Étapes clés :
- Maintenant — La norme ISO 27701:2025 est publiée et disponible pour mise en œuvre
- 2025 à 2026 ans, qui — Les organismes de certification achèvent leur accréditation et commencent à proposer des audits ISO 27701:2025
- Octobre 2028 — Tous les certificats ISO 27701:2019 expirent. La transition doit être achevée.
La période de transition de trois ans est généreuse, mais les organisations ne devraient pas attendre le dernier moment. Les entreprises qui adopteront rapidement la solution bénéficieront d'une moindre concurrence pour la disponibilité des auditeurs et de plus de temps pour corriger les éventuelles lacunes identifiées lors de la mise en œuvre.
Les organismes qui découvrent la norme ISO 27701 doivent implémenter directement l'édition 2025. Il n'y a aucun avantage à implémenter l'édition 2019 à ce stade, car elle sera retirée à la fin de la période de transition. Pour une planification de transition étape par étape, consultez notre [lien/lien/document]. guide de transition.
Pourquoi nous choisir ISMS.en ligne pour votre transition ?
ISMS.en ligne est conçu spécifiquement pour aider les organisations à gérer la transition de 2019 à 2025 et à obtenir efficacement leur certification :
- Cadre ISO 27701:2025 pré-construit — Commencez par la structure complète des clauses, les 78 contrôles de l'annexe A et les directives de mise en œuvre déjà cartographiés et prêts à être personnalisés.
- Outils d'analyse des écarts — Identifiez précisément les points sur lesquels votre système PIMS actuel répond aux exigences de 2025 et ceux qui nécessitent des améliorations.
- Générateur de déclaration d'applicabilité — Générez et tenez à jour votre référentiel d'architecture (SoA) avec les justifications des contrôles, l'état de mise en œuvre et les preuves associées.
- registre des risques liés à la protection de la vie privée — Flux de travail intégrés d'évaluation et de traitement des risques, conformes aux exigences de la clause 6
- Tableau de bord de préparation à l'audit — Suivez votre progression, centralisez les preuves et assurez-vous d'être prêt pour la certification avant la date de votre audit.
Questions fréquentes
Dois-je me faire recertifier selon l'édition 2025 ?
Oui. Tous les certificats ISO 27701:2019 doivent être mis à jour selon la version 2025 d'ici octobre 2028. Cette mise à jour peut être effectuée lors d'un audit de surveillance ou de recertification programmé, ou par le biais d'un audit de transition dédié. Votre organisme de certification évaluera votre système de gestion de la protection des données (SGPD) au regard des exigences de l'édition 2025, notamment les contrôles restructurés de l'annexe A et les nouvelles exigences d'évaluation des risques liés à la protection des données (article 6).
Puis-je utiliser mon système de gestion de la sécurité de l'information (SGSI) ISO 27001 existant en parallèle avec la norme ISO 27701:2025 ?
Absolument. La norme ISO 27701:2025 est conçue pour fonctionner à la fois comme norme autonome et en complément de la norme ISO 27001. Si vous disposez déjà d'un système de management de la sécurité de l'information (SMSI), vous pouvez y intégrer votre système de management de la performance (SMP), en partageant des éléments communs tels que la gestion documentaire, l'audit interne et la revue de direction. De nombreuses organisations privilégient cette approche afin d'éviter la duplication des efforts entre les deux systèmes.
Quelle est la date limite pour la transition depuis la norme ISO 27701:2019 ?
La date limite de transition est fixée à octobre 2028. Passée cette date, les certificats ISO 27701:2019 ne seront plus valides. Les organisations doivent planifier leur transition suffisamment à l'avance afin de garantir la disponibilité des auditeurs et de prévoir le temps nécessaire pour les modifications éventuelles de leur système de gestion des informations relatives à la protection des données.
Identifiez précisément les lacunes de votre système de gestion de portefeuille d'entreprise (PIMS) actuel grâce à notre guide d'analyse des écarts étape par étape.
Voir le chemin le plus rapide vers la certification pour un calendrier réaliste basé sur votre point de départ.
Apprenez des autres et consultez le erreurs de mise en œuvre les plus courantes.
