GDPR & privacy

ISO 27701:2025 : ce qui a changé et pourquoi c'est important

ISO/IEC 27701 vient de subir sa transformation la plus profonde depuis sa publication initiale. L'édition 2025 n'est plus un module complémentaire à ISO/IEC 27001 ; c'est une norme de management de la vie privée à part entière, autonome. Voici ce qui a changé, pourquoi c'est important et comment s'y préparer.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de lecture
ISO 27701:2025: What Changed and Why It Matters

Pendant des années, ISO 27701 a fait figure d'extension maladroite greffée sur ISO 27001. Utile ? Oui. Cohérent ? Pas vraiment.

Les responsables de la protection des données se heurtaient à des périmètres flous, des contrôles obsolètes, et une question récurrente : « S'agit-il d'un module complémentaire, ou d'un véritable système de management de la protection de la vie privée ? »

ISO 27701:2025 vient de trancher.

Ce n'est pas une révision. C'est une refonte.

L'édition 2025 fait d'ISO 27701 un système de management à part entière, avec ses propres clauses, ses propres contrôles et sa propre voie de certification.

Il est moderne, aligné sur les réalités actuelles en matière de vie privée et de sécurité, et structuré comme tout autre norme de système de management ISO.

Si vous pilotez un PIMS aujourd'hui, cette mise à jour impacte :

  • votre modèle de gouvernance
  • vos rôles
  • votre SoA
  • vos contrôles
  • vos contrats
  • votre gestion des tiers
  • vos audits
  • votre feuille de route pour les 12 à 18 prochains mois

Voici les changements, exposés clairement, de façon pratique, sans jargon normatif.

1. ISO 27701 est désormais un système de management autonome

C'est le changement majeur, énoncé explicitement dans la Préface :

« Le document a été refondu en tant que norme de système de management autonome. »

Plus de dépendance vis-à-vis d'ISO 27001. Plus de modèle d'extension. Plus d'obligation d'être certifié ISO 27001 au préalable.

Ce que cela signifie en pratique

  • Vous pouvez vous certifier contre ISO 27701 directement.
  • La gouvernance de la vie privée devient indépendante de la fonction sécurité de l'information.
  • Les organisations peuvent construire un PIMS sans avoir besoin d'un ISMS complet.
  • Les auditeurs traiteront la norme 27701 avec la même rigueur que la 9001 ou la 27001.

La protection de la vie privée est désormais une discipline de premier plan, et non plus une activité secondaire vivant dans l'ombre de la sécurité.

2. Clauses entièrement refontes (4 à 10)

La structure globale reflète désormais le cadre harmonisé des systèmes de management ISO :

  • Contexte
  • Leadership
  • Planification
  • Support
  • Opération
  • Évaluation des performances
  • Amélioration

Cela n'existait pas dans la version 27701:2019, qui réutilisait la structure de la norme 27001.

Un ajout surprenant

L'organisation doit déterminer si le changement climatique constitue un enjeu pertinent pour le PIMS.

« L'organisation doit déterminer si le changement climatique est un enjeu pertinent. »

Cela peut influencer le choix des centres de données, la planification de la résilience et la continuité transfrontalière des traitements de DCP.

3. Des rôles désormais bien plus clairs (responsable de traitement vs sous-traitant)

L'édition 2025 précise la définition des rôles et introduit une séparation obligatoire :

Lorsqu'une organisation agit à la fois en tant que responsable de traitement et sous-traitant, des rôles distincts doivent être définis, chacun assorti de ses propres contrôles.

Impact

  • Vous ne pouvez pas fusionner les responsabilités.
  • Votre SoA doit distinguer les deux rôles.
  • Vos contrats, DPIA et évaluations des fournisseurs doivent refléter les rôles de traitement réels.

Cela reflète bien plus fidèlement la réalité du GDPR.

4. L'Annexe A entièrement reconstruite

L'Annexe A de l'édition 2025 est un catalogue de contrôles moderne et enrichi, et non le mapping recyclé de l'ère 27001:2013 figurant dans la version 2019.

L'Annexe F liste l'ensemble des modifications, y compris les nouveaux contrôles ajoutés. En voici quelques points saillants :

Nouveaux contrôles introduits dans ISO 27701:2025

(tous référencés depuis l'Annexe F)

Cycle de vie des données :

  • Suppression des informations
  • Masquage des données
  • Prévention des fuites de données

Ingénierie et opérations :

  • Codage sécurisé
  • Gestion des configurations
  • Activités de surveillance

Cloud et chaîne d'approvisionnement :

  • Sécurité de l'information pour les services cloud

Résilience :

  • Préparation des TIC pour la continuité des activités

Renseignement sur les menaces :

  • Renseignement sur les menaces (nouveau contrôle)

Cela rapproche considérablement le management de la vie privée du paysage des menaces contemporain : environnements cloud natifs, pratiques d'ingénierie, cycle de vie des données et surveillance continue.

5. Mise à jour des annexes de correspondance (GDPR, 29100, 27018, 29151)

L'édition 2025 comprend des tableaux de correspondance réactualisés :

  • Annexe C → Cadre de protection de la vie privée ISO/IEC 29100
  • Annexe D → GDPR
  • Annexe E → ISO 27018 & 29151

C'est important, car la certification PIMS sert souvent de preuve auprès des clients, des régulateurs et des autorités de contrôle.

Les correspondances sont désormais plus claires, plus strictes et mieux alignées sur les attentes en matière de contrôle.

6. Une trajectoire de transition claire de 2019 à 2025

L'Annexe F fournit un tableau de correspondance complet des :

  • contrôles supprimés,
  • contrôles renommés,
  • contrôles consolidés,
  • nouveaux contrôles,
  • et modifications des exigences.

C'est votre feuille de route de migration.

Si vous êtes certifié ISO 27701:2019, vous aurez besoin :

  • d'un nouveau SoA,
  • d'une évaluation des risques mise à jour,
  • de DPIA mis à jour,
  • de registres de traitement mis à jour,
  • de contrats mis à jour,
  • de nouvelles clauses de gouvernance,
  • et probablement d'outils mis à jour.

Prévoyez un plan de transition sur un an complet.

7. Pourquoi ISO 27701:2025 est plus important que jamais

La protection de la vie privée n'est plus un exercice documentaire ; elle est opérationnelle, technique et stratégique.

La révision 2025 prend enfin en compte :

  • les écosystèmes cloud modernes
  • les pipelines d'ingénierie
  • les complexités du cycle de vie des données
  • le renseignement sur les menaces
  • la résilience technique
  • le développement sécurisé
  • le risque fournisseur
  • la surveillance et la détection
  • la fragmentation réglementaire sur les marchés mondiaux

En d'autres termes :la protection de la vie privée a rejoint l'ère GRC moderne.

Pour conclure

ISO 27701:2025 n'est pas une simple mise à jour ; c'est une remise à zéro.

Le modèle d'extension est mort. La gouvernance de la vie privée est désormais une discipline autonome, avec un véritable poids opérationnel. Les organisations devront traiter cette norme avec le même sérieux qu'ISO 27001.

Si 27701:2019 visait à documenter la protection de la vie privée, 27701:2025 vise à piloter la protection de la vie privée.

Si vous souhaitez un plan de migration clair et opérationnel, incluant un nouveau SoA, une analyse d'écart complète entre la version 2019 et 2025, ainsi qu'une feuille de route de transition pas à pas, c'est exactement ce que nous enseignons dans la Cyber Academy ISO27701:2025 Lead Implementer Masterclass. Rejoignez la prochaine session et faites évoluer votre PIMS sans précipitation.

← Retour à tous les articlesPlus sur GDPR & privacy

Vous voulez recevoir la prochaine note de terrain dans votre boîte mail ?

La newsletter The GRC Brief. Cinq liens et une prise de position courte, chaque lundi à 8h CET. Trois minutes de lecture.

S'abonner à la newsletterBack to articles