Accueil Normes Secteurs ✦ Évaluation IA Demander un devis →
AccueilNormes → ISO 27701

ISO/IEC 27701 — Management des Informations Relatives à la Vie Privée

La norme internationale pour les Systèmes de Management des Informations Relatives à la Vie Privée (PIMS). L'ISO 27701 étend l'ISO 27001 avec des mesures spécifiques à la vie privée — fournissant un cadre structuré et auditable pour la conformité au RGPD, à la LGPD, à la PIPEDA et à d'autres réglementations sur la protection des données.

ISO 27701:2019PIMSAlignement RGPDCadre vie privée

Qu'est-ce que l'ISO/IEC 27701 ?

L'ISO/IEC 27701:2019 est une extension de l'ISO 27001 et de l'ISO 27002 qui spécifie les exigences et les recommandations pour établir, mettre en œuvre, maintenir et améliorer continuellement un Système de Management des Informations Relatives à la Vie Privée (PIMS). Elle met en correspondance les mesures de protection de la vie privée avec les rôles de Responsables de traitement des informations personnelles (PIC) et de Sous-traitants des informations personnelles (PIP).

Relation avec l'ISO 27001

L'ISO 27701 n'est pas une norme autonome — elle étend l'ISO 27001. Les organisations doivent détenir la certification ISO 27001 (ou la viser simultanément) avant d'obtenir la certification ISO 27701. Le programme intégré partage le cadre de management du SMSI, réduisant considérablement l'effort de mise en œuvre et le coût d'audit par rapport à des missions séparées.

Qui a besoin de l'ISO 27701 ?

  • Organisations traitant des données personnelles de l'UE sous les obligations du RGPD
  • Fournisseurs de services cloud et sous-traitants traitant des données personnelles clients
  • Plateformes technologiques de santé et de ressources humaines
  • Entreprises de services financiers soumises à des exigences de multiple juridictions en matière de vie privée
  • Toute organisation cherchant à démontrer sa responsabilité au titre de l'article 5(2) du RGPD

ISO 27701 et conformité RGPD

Bien que la certification ISO 27701 ne constitue pas une preuve juridique de conformité au RGPD, elle fournit un cadre documenté et audité de manière indépendante qui correspond directement aux obligations de responsabilité du RGPD. Les autorités de contrôle et les délégués à la protection des données reconnaissent largement l'ISO 27701 comme une mesure de responsabilité robuste au titre de l'article 24 du RGPD.

Domaines de mesures clés

  • Conditions de vie privée pour la collecte et le traitement des informations personnelles
  • Obligations envers les individus (personnes concernées) : transparence, accès, rectification, effacement
  • Protection de la vie privée dès la conception et par défaut dans la conception des systèmes et processus
  • Mesures de transfert de données incluant les mécanismes de transfert transfrontalier
  • Gestion des sous-traitants au titre de l'article 28 du RGPD
  • Procédures de notification des violations de données alignées sur l'exigence de 72 heures du RGPD

Délai type

Pour les organisations détenant déjà l'ISO 27001 : 2 à 3 mois pour ajouter la certification ISO 27701. Pour les organisations visant l'ISO 27001 + ISO 27701 simultanément : 4 à 6 mois.