Pourquoi la norme ISO 27701 a-t-elle été mise à jour ?
La première édition de ISO 27701 Publiée en 2019 comme extension des normes ISO 27001 et ISO 27002, cette norme a depuis lors profondément transformé le paysage de la protection des données. De nouvelles réglementations ont vu le jour, les technologies ont évolué (IA, IoT, biométrie) et les organisations réclament une norme autonome, indépendante de tout système de gestion de la sécurité de l'information distinct.
La norme ISO/IEC 27701:2025, publiée en octobre 2025, est la deuxième édition. Elle remplace intégralement la version 2019 et introduit des modifications structurelles visant à rendre la gestion des informations relatives à la protection de la vie privée plus pratique et accessible.
Quels sont les principaux changements apportés par la norme ISO 27701:2025 ?
L’édition 2025 apporte sept changements clés que les organisations doivent comprendre :
1. Norme autonome
Le changement le plus significatif est que la norme ISO 27701:2025 est désormais une système de gestion autonome standardLes organisations n'ont plus besoin d'être certifiées ISO 27001 au préalable. La norme contient son propre ensemble complet d'exigences (articles 4 à 10), couvrant le contexte, le leadership, la planification, le support, l'exploitation, l'évaluation et l'amélioration des performances.
Cela ouvre la porte aux organisations qui souhaitent une certification de confidentialité sans les contraintes d'un système de gestion de la sécurité de l'information (SGSI) complet, tout en permettant l'intégration avec la norme ISO 27001 pour celles qui souhaitent les deux.
2. Annexe A restructurée avec trois tableaux de contrôle
Les anciennes clauses 7 (lignes directrices relatives au responsable du traitement des données personnelles) et 8 (lignes directrices relatives au sous-traitant des données personnelles) ont été remplacées par une clause unifiée. Annexe A avec trois tables :
| lampe de table | Domaine | Contrôles |
|---|---|---|
| Tableau A.1 | commandes du contrôleur PII | 31 commandes |
| Tableau A.2 | Contrôles du processeur PII | 18 commandes |
| Tableau A.3 | Contrôles de sécurité partagés (contrôleurs et processeurs) | 29 commandes |
Cela donne aux organisations 78 contrôles de confidentialité au total, chacune assortie de directives de mise en œuvre correspondantes dans l'annexe B. La structure permet de déterminer beaucoup plus clairement quelles commandes s'appliquent à votre rôle.
3. L’annexe B fournit des orientations pour la mise en œuvre
L’annexe B reprend chaque contrôle de l’annexe A et fournit des instructions de mise en œuvre détaillées. Alors que la version 2019 intégrait ces instructions dans les articles 6, 7 et 8, l’édition 2025 distingue le « quoi » (annexe A) du « comment » (annexe B). Ceci simplifie l’audit et l’analyse des écarts.
4. Nouvelles annexes cartographiques
L'édition 2025 comprend quatre annexes cartographiques :
- Annexe C — Correspondance avec les principes de confidentialité de la norme ISO/IEC 29100
- Annexe D - Correspondance avec les articles du RGPD
- Annexe E — Correspondance avec les normes ISO/IEC 27018 et ISO/IEC 29151
- Annexe F — Correspondance avec la norme ISO 27701:2019 (nouvelle en 2025)
L’annexe F est particulièrement précieuse pour les organisations qui passent de l’édition 2019 à l’édition 2025, car elle établit une correspondance entre chaque ancien contrôle et son équivalent de l’édition 2025.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
5. La clause 6 simplifiée remplace l'ancienne clause 6
L'édition 2019 Article 6 Il contenait plus de 90 sous-clauses faisant référence aux contrôles de la norme ISO 27002, avec des ajouts spécifiques aux données personnelles. En 2025, il a été consolidé en Tableau A.3 (contrôles de sécurité partagés) avec 29 commandes ciblées. Il en résulte une portée nettement plus gérable.
6. Exigences simplifiées du système de gestion
Les articles 4 à 10 suivent désormais la structure harmonisée des systèmes de management ISO. Ils sont autonomes et ne nécessitent pas de référence croisée avec les articles de la norme ISO 27001, bien que l'alignement soit simple pour les organismes détenant les deux certifications.
7. Considérations relatives au changement climatique
Conformément aux récentes modifications apportées par l'ISO à toutes les normes de systèmes de management, les clauses 4.1 et 4.2 exigent désormais des organisations qu'elles déterminent si le changement climatique est une question pertinente dans le contexte de leur PIMS.
Comment la structure de contrôle se compare-t-elle à celle de 2019 ?
| Aspect | ISO 27701: 2019 | ISO 27701: 2025 |
|---|---|---|
| Dépendance | Extension à la norme ISO 27001 + 27002 | Norme autonome |
| Guide du contrôleur | Article 7 (intégré) | Tableau A.1 + Annexe B.1 (31 contrôles) |
| Conseils du processeur | Article 8 (intégré) | Tableau A.2 + Annexe B.2 (18 contrôles) |
| Contrôles de sécurité | Article 6 (plus de 90 sous-articles faisant référence à la norme ISO 27002) | Tableau A.3 + Annexe B.3 (29 contrôles) |
| Contrôles de confidentialité totaux | Réparties dans les articles 6, 7 et 8 | 78 contrôles dans l'annexe A |
| GDPR cartographie | Annexe D | Annexe D (mise à jour) |
| Correspondance de 2019 | N/D | Annexe F (nouvelle) |
Quelle est la date limite de transition ?
Les organisations certifiées ISO 27701:2019 ont jusqu'à Octobre 2028 pour passer à l'édition 2025. Cela laisse une fenêtre de trois ans à compter de la date de publication.
Un structuré analyse des écarts constitue le meilleur point de départ pour comprendre ce que l'édition 2025 signifie pour votre système PIMS actuel.
Durant la période de transition :
- De nouvelles certifications peuvent être délivrées pour l'une ou l'autre édition
- Les certificats de 2019 en vigueur restent valides jusqu'à leur expiration ou jusqu'à la date limite de transition, selon la première éventualité.
- Les organismes de certification devront mettre à jour leurs programmes d'audit afin de les évaluer par rapport aux exigences de 2025.
Pour une approche étape par étape de la transition, consultez notre Guide de transition ISO 27701.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Que signifie concrètement une certification autonome ?
Selon l'édition 2019, une organisation ne pouvait obtenir la certification ISO 27701 que si elle possédait déjà (ou était en cours de certification simultanée) la certification ISO 27001. Cela créait un obstacle pour les organisations qui avaient besoin d'une certification de protection de la vie privée mais pas d'un système complet de gestion de la sécurité de l'information.
Avec l'édition 2025, les organismes peuvent obtenir la certification ISO 27701 de manière indépendante. La norme inclut désormais ses propres exigences relatives au système de management (articles 4 à 10) et ses propres contrôles (annexe A). Cependant, l'intégration avec l'ISO 27001 reste simple et est encouragée lorsque les deux disciplines sont pertinentes.
Pourquoi nous choisir ISMS.en ligne pour la norme ISO 27701:2025 ?
ISMS.en ligne vous offre une méthode pratique et structurée pour mettre en œuvre et maintenir votre système de gestion des informations sur la protection de la vie privée conforme à la norme ISO 27701:2025 :
- Cadre pré-construit — Les contrôles, clauses et exigences de preuve de la norme ISO 27701:2025 sont cartographiés et prêts à l'emploi dès le premier jour.
- Gestion intégrée des risques — Effectuer des évaluations des risques liés à la protection de la vie privée en même temps que des évaluations des risques liés à la sécurité de l'information, le tout au même endroit.
- Gestion des politiques et des contrôles — Rédiger, approuver, diffuser et suivre la prise de connaissance des politiques de confidentialité
- Gestion des fournisseurs — Suivi des contrats de traitement des données personnelles, des déclarations des sous-traitants et des enregistrements des transferts transfrontaliers
- Préparation à l'audit — Conservez votre déclaration d'applicabilité, vos dossiers de preuves et vos mesures correctives sur une seule et même plateforme.
- Prise en charge de la double certification — Exécuter la norme ISO 27701 de manière autonome ou intégrée à la norme ISO 27001 sans effort redondant
Questions fréquentes
La norme ISO 27701:2025 est-elle rétrocompatible avec la version 2019 ?
Pas directement. La structure a considérablement changé, les anciennes clauses 6, 7 et 8 étant remplacées par les annexes A et B. Toutefois, l'annexe F fournit un tableau de correspondance complet établissant un lien entre chaque contrôle de 2019 et son équivalent de 2025, ce qui simplifie l'analyse des écarts.
Ai-je encore besoin de la norme ISO 27001 pour obtenir la certification ISO 27701 ?
Non. La norme ISO 27701:2025 est une norme indépendante avec ses propres exigences en matière de système de management. Vous pouvez obtenir la certification ISO 27701 de manière indépendante. Si vous êtes déjà certifié ISO 27001, vous pouvez intégrer les deux systèmes et bénéficier de processus partagés.
Quand dois-je passer de la norme ISO 27701:2019 ?
La date limite de transition est fixée à octobre 2028, ce qui vous laisse trois ans à compter de la publication de l'édition 2025. Les certificats 2019 existants restent valides jusqu'à leur expiration ou jusqu'à la date limite de transition, selon la première échéance.
Combien de contrôles comporte la norme ISO 27701:2025 ?
L’annexe A comporte 78 contrôles, répartis dans trois tableaux : 31 pour les responsables du traitement des données personnelles (Tableau A.1), 18 pour les processeurs PII (Tableau A.2) et 29 contrôles de sécurité partagés pour les deux (Tableau A.3Chaque contrôle dispose de directives de mise en œuvre correspondantes dans l'annexe B.
La norme ISO 27701:2025 couvre-t-elle l'IA et les données biométriques ?
La norme est technologiquement neutre, mais ses contrôles pour la prise de décision automatisée (A.1.3.11 Prise de décision automatisée), évaluation de l'impact sur la vie privée (A.1.2.6 Évaluation de l'impact sur la vie privée) et la minimisation des données (A.1.4.5 Minimisation des informations personnelles identifiablesCes principes sont directement pertinents pour l'IA, l'IoT et le traitement biométrique. Ils s'appliquent quelle que soit la technologie utilisée.
Si vous vous demandez si la certification convient à votre organisation, consultez notre guide : Ai-je besoin de la certification ISO 27701:2025 ?.
Pour un aperçu concis à partager avec les principaux acteurs, consultez notre Résumé à l'intention des membres du conseil d'administration.
