Quel est le calendrier de transition vers la norme ISO 27701:2025 ?
La norme ISO/IEC 27701:2025 a été publiée en octobre 2025. Les organismes certifiés selon l'édition 2019 disposent d'une période de transition de trois ans se terminant en octobre 2028.
| Points de repère | Date | Ce que cela veut dire |
|---|---|---|
| Édition 2025 publiée | Octobre 2025 | De nouvelles certifications peuvent être délivrées pour l'une ou l'autre édition |
| Période de transition | Octobre 2025 - Octobre 2028 | Les organisations peuvent planifier et exécuter la transition vers 2025. |
| Date limite de transition | Octobre 2028 | Tous les certificats de 2019 expirent ; seuls les certificats de 2025 sont valides. |
Si votre prochain audit de surveillance ou de recertification a lieu pendant la période de transition, il est judicieux d'en discuter avec votre organisme de certification décider s'il faut combiner la transition avec cet audit prévu.
Choisir le bon auditeur est essentiel — consultez notre guide sur Comment choisir un organisme de certification ISO 27701:2025.
Quels sont les principaux délais de transition et les périodes de grâce ?
La période de transition de trois ans offre une certaine flexibilité aux organisations, mais les différentes étapes nécessitent des actions à des moments différents. Voici un récapitulatif pratique des actions à entreprendre et de leur échéance :
| Date | Ce qui se produit | Action requise |
|---|---|---|
| Octobre 2025 | La norme ISO 27701:2025 est publiée. De nouvelles certifications peuvent être délivrées pour l'une ou l'autre édition. | Commencez à planifier votre transition. Procédez à une analyse des écarts par rapport aux exigences de 2025. |
| Octobre 2025 – Octobre 2026 (Année 1) | Période de transition anticipée. Les organismes de certification mettent à jour leurs systèmes d'audit. | Vérifiez que votre organisme de certification est prêt à réaliser des audits en vue de 2025. Si votre audit de surveillance a lieu pendant cette période, envisagez de le combiner avec la transition. |
| Octobre 2026 – Octobre 2027 (Année 2) | En pleine transition. La plupart des organismes de certification sont pleinement opérationnels sur l'édition 2025. | Finalisez la mise à jour de votre documentation et votre audit interne par rapport à la structure de 2025. Planifiez votre audit de transition. |
| Octobre 2027 – Octobre 2028 (Année 3) | Dernière année de transition. L'urgence s'accroît pour les organisations qui n'ont pas encore effectué la transition. | Finalisez votre audit de transition avant octobre 2028. La disponibilité des organismes de certification pourrait se réduire à mesure que l'échéance approche. |
| Octobre 2028 | Date limite. Tous les certificats ISO 27701:2019 expirent. Seuls les certificats de l'édition 2025 sont valides. | Si vous n'avez pas effectué la transition, votre certification expire. Vous devrez alors vous faire certifier comme nouveau candidat, ce qui pourrait nécessiter un audit complet des étapes 1 et 2. |
Que se passe-t-il si vous manquez la date limite?
Si votre certificat ISO 27701:2019 expire en octobre 2028 sans transition :
- Votre certificat n'est plus valide. — Les clients, les organismes de réglementation et les équipes d'approvisionnement qui se fient à votre certification la considéreront comme caduque.
- Vous ne pouvez pas simplement renouveler L’édition 2019 sera retirée. Il n’est pas possible de se faire recertifier.
- Vous commencez en tant que nouveau candidat Votre organisme de certification vous considérera comme un nouveau candidat pour l'édition 2025, ce qui implique généralement un audit complet de phase 1 et de phase 2, et non un audit de transition. Cette procédure est plus coûteuse et plus longue.
- Impact commercial — Tout contrat, appel d'offres ou accord client faisant référence à votre certification ISO 27701 pourrait être affecté.
Conseils pratiques sur le timing
L'approche la plus rentable consiste à aligner votre transition sur un audit programmé :
- Si votre prochain audit de surveillance a lieu avant octobre 2027 — Profitez de cette visite de surveillance pour effectuer la transition. Cela vous évitera des frais d'audit de transition distincts.
- Si votre recertification est due avant octobre 2028 — Transition lors de la recertification. Vous payez déjà pour un audit complet ; l’ajout des exigences de l’édition 2025 est progressif.
- Si vous n'avez pas d'audit prévu avant fin 2028 N’attendez pas. Planifiez votre audit de transition au plus tôt afin d’éviter l’affluence à l’approche de l’échéance. La disponibilité des organismes de certification se réduira au cours des six derniers mois.
Quel que soit le moment que vous choisissez, commencez votre analyse des écarts et les mises à jour de la documentation au moins six mois avant votre date prévue Audit de transitionLes modifications de la documentation sont gérables mais nécessitent une grande rigueur ; les précipiter augmente le risque de non-conformités.
Notre guide étape par étape guide d'analyse des écarts vous guide tout au long du processus d'évaluation pour l'édition 2025.
Quels sont les changements structurels que vous devez comprendre ?
L’édition 2025 n’est pas une simple révision. L’architecture de la norme a été profondément modifiée. Comprendre ces changements structurels est la première étape de la planification de votre transition.
Les exigences relatives au système de gestion sont désormais autonomes.
L'édition 2019 a étendu les clauses de la norme ISO 27001 en y ajoutant des dispositions spécifiques à la protection des données. L'édition 2025 définit ses propres exigences complètes en matière de système de management (clauses 4 à 10), conformément à la structure harmonisée ISO. Si vous êtes également certifié ISO 27001, vous pouvez intégrer les deux systèmes. ISO 27701 n'en dépend plus.
Les contrôles sont passés des clauses aux annexes.
Voici la modification qui affecte le plus votre documentation et votre déclaration d'applicabilité :
| 2019 emplacement | 2025 emplacement | Description |
|---|---|---|
| Article 6 (Plus de 90 sous-clauses) | Tableau A.3 (29 témoins) | Contrôles de sécurité des informations partagées pour les données personnelles identifiables (DPI) |
| Article 7 | Tableau A.1 (31 témoins) | commandes du contrôleur PII |
| Article 8 | Tableau A.2 (18 témoins) | Contrôles du processeur PII |
| Intégré aux clauses 6 à 8 | Annexe B | Guide de mise en œuvre (miroirs) Annexe A) |
Le Tableau de correspondance de l'annexe F Elle associe chaque contrôle de 2019 à son équivalent de 2025, rendant ainsi l'analyse des écarts concrète.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Comment réaliser une analyse des écarts ?
Une analyse structurée des écarts est essentielle à une transition réussie. Voici une approche pratique :
Étape 1 : Associez vos commandes actuelles à 2025
Utilisez le bouton Tableau de correspondance de l'annexe F Il s'agit d'identifier à quel élément de vos contrôles existants de 2019 correspond la structure de 2025. De nombreux contrôles ont des équivalents directs, mais certains ont été regroupés et d'autres entièrement supprimés.
Portez attention aux commandes marquées « N/A » dans Annexe F Il s'agit de contrôles de 2019 sans équivalent direct pour 2025. Vous devez déterminer si l'objectif est déjà couvert par un autre contrôle de 2025 ou si vous pouvez supprimer la documentation sans risque.
Étape 2 : Identifier les nouveaux besoins
Comparez les exigences du système de gestion 2025 (articles 4 à 10) à votre documentation PIMS actuelle. Points clés à vérifier :
- Articles 4.1 et 4.2 — Le changement climatique est désormais un élément à prendre en compte dans votre analyse contextuelle et votre évaluation des parties prenantes.
- Article 5.2 — Les exigences en matière de politique de confidentialité sont désormais autonomes (et non une extension de votre politique SMSI).
- Article 6.1.2 / 6.1.3 — Les exigences en matière d'évaluation et de traitement des risques liés à la protection de la vie privée sont autonomes.
- Article 6.3 — La planification des changements est explicitement requise
Étape 3 : Reconstituez votre déclaration d'applicabilité
Votre déclaration d'applicabilité actuelle, faisant référence aux articles 6, 7 et 8, reste applicable. L'édition 2025 exige une nouvelle déclaration d'applicabilité fondée sur… 78 Annexe A contrôles, avec justifications pour toute exclusion [voir clause 6.1.3 e)].
Étape 4 : Mise à jour de la documentation
Au minimum, les documents suivants devront être mis à jour :
- Déclaration de portée du PIMS (désormais autonome, ne faisant plus référence à la portée du SMSI)
- Politique de confidentialité (autonome, conformément à la clause 5.2)
- Méthodologie d'évaluation des risques liés à la protection de la vie privée (conformément à la clause 6.1.2)
- Déclaration d’applicabilité (nouvelle structure de l’annexe A)
- Programme d'audit interne (couvrant les clauses 4 à 10 ainsi que les contrôles applicables de l'annexe A)
- Éléments d’entrée et de sortie de la revue de direction (conformément à la clause 9.3)
Étape 5 : Réaliser un audit interne par rapport à 2025
Avant votre audit de transition, effectuez un audit interne complet par rapport aux exigences de 2025. Cela valide votre analyse des écarts, teste votre documentation mise à jour et fournit à votre revue de direction des informations pertinentes sur l'état de préparation à la transition.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quels contrôles ont été supprimés ou regroupés ?
L'article 6 de l'édition 2019 faisait référence à plus de 90 sous-articles de la norme ISO 27002 contenant des recommandations spécifiques aux données personnelles. L'édition 2025 les regroupe en 29 contrôles ciblés. Tableau A.3De nombreuses sous-clauses de 2019 qui se contentaient d'indiquer « aucune orientation supplémentaire » ont été supprimées.
Les mesures de contrôle qui ne comportaient pas de recommandations spécifiques en matière de protection des données personnelles (sécurité physique, câblage, utilitaires, protection contre les logiciels malveillants, etc.) ne sont plus listées séparément. Cela ne signifie pas qu'elles sont sans importance ; cela signifie simplement que la norme se concentre désormais spécifiquement sur les mesures de contrôle qui nécessitent des recommandations de mise en œuvre relatives aux données personnelles.
Les tableaux F.1 et F.2 de l'annexe F fournissent la cartographie complète dans les deux sens, ce qui vous permet de vérifier exactement quelles commandes existantes doivent être remappées et lesquelles peuvent être retirées du périmètre de votre PIMS.
Pourquoi nous choisir ISMS.en ligne pour votre transition vers la norme ISO 27701 ?
ISMS.en ligne rend la transition pratique et traçable :
- Cadre pré-mappé — Les contrôles, exigences et preuves de la norme ISO 27701:2025 sont cartographiés et prêts à l'emploi
- Soutien à l'analyse des écarts — Comparez votre système PIMS actuel à la structure de 2025 et identifiez les éléments à mettre à jour.
- Générateur de déclaration d'applicabilité — Générez votre nouvelle déclaration d'état des lieux (SoA) basée sur les 78 contrôles de l'annexe A, avec justifications.
- Workflow — Centralisez le contrôle de version de vos politiques, procédures et dossiers mis à jour.
- outils d'audit interne — Planifiez et exécutez votre audit de pré-transition avec suivi des actions correctives
- Prise en charge du double framework — Exécuter les normes ISO 27701 et ISO 27001 côte à côte sans duplication de travail
Questions fréquentes
Puis-je passer plus tôt à la norme ISO 27701:2025 ?
Oui. De nouvelles certifications conformes à l'édition 2025 pourront être délivrées à partir d'octobre 2025. Si votre prochain audit est prévu prochainement, discutez avec votre organisme de certification de l'opportunité de le combiner avec la transition.
Dois-je tout recommencer à zéro ?
Non. La majeure partie de votre travail existant est conservée. Les contrôles ont été réorganisés, mais pas fondamentalement réécrits. Utilisez l'annexe F pour faire correspondre vos contrôles actuels à la nouvelle structure, mettez à jour votre documentation pour refléter la nouvelle numérotation et comblez les lacunes identifiées lors de votre analyse des écarts.
Que se passe-t-il si je rate la date limite d'octobre 2028 ?
Votre certification ISO 27701:2019 ne sera plus valable après octobre 2028. Vous devrez obtenir une nouvelle certification selon l'édition 2025 plutôt qu'une certification de transition, ce qui peut nécessiter un audit complet de phase 1 et de phase 2.
Ai-je encore besoin de la norme ISO 27001 pour la transition ?
Non. La norme ISO 27701:2025 étant indépendante, vous pouvez effectuer la transition sans détenir la norme ISO 27001. Si vous détenez actuellement les deux certifications, vous pouvez choisir de les maintenir indépendamment ou de continuer à exploiter un système de management intégré.
Combien de temps dure généralement la transition ?
Cela dépend de la maturité de votre système de gestion de l'information (PIMS) actuel et de l'ampleur des modifications documentaires nécessaires. Les organisations dotées de systèmes bien maintenus peuvent avoir besoin de quelques semaines pour l'analyse des écarts et la mise à jour de la documentation, suivies d'un audit interne. L'audit de transition est généralement combiné à une visite de surveillance ou de recertification.
Pour les organisations qui souhaitent agir rapidement, nous proposons une gamme de services. la voie la plus rapide vers la certification ISO 27701:2025.
