La vision de Cyber Academy
ISO 27701 est l'extension de gestion des informations de confidentialité adossée à ISO 27001. Elle ajoute les obligations du responsable de traitement et du sous-traitant par-dessus le SMSI. Utile pour les organisations souhaitant un système de management certifiable unique couvrant à la fois la sécurité et la vie privée. Elle s'articule avec le GDPR mais ne « remplace » pas le travail de conformité GDPR.
Une extension, pas une norme autonome
ISO/IEC 27701 n'existe pas de façon autonome. Elle est conçue comme une extension d'ISO/IEC 27001 et d'ISO/IEC 27002, ce qui signifie que vous ne pouvez pas vous y certifier sans disposer au préalable d'un système de management de la sécurité de l'information (SMSI) opérationnel. La norme reprend les mesures de sécurité que vous appliquez déjà et y superpose des exigences et des recommandations spécifiques à la protection de la vie privée, transformant le SMSI en un système de management de la protection de la vie privée (PIMS).
Pour une organisation qui exploite déjà ISO 27001, c'est une démarche efficace : vous réutilisez la même gouvernance, la même méthodologie de risque, le même cycle d'audit, et vous étendez le périmètre pour couvrir le traitement des données à caractère personnel (DCP).
Ce choix architectural est l'essentiel. Plutôt que de gérer la protection de la vie privée comme un programme distinct doté de ses propres comités et de ses propres preuves, ISO 27701 vous permet de certifier un système de management unique couvrant à la fois la sécurité et la protection de la vie privée. La déclaration d'applicabilité est élargie, l'appréciation du risque considère désormais le risque pour la vie privée des personnes et non plus seulement le risque pour l'organisation, et le même organisme de certification audite l'ensemble en une seule mission.
Obligations du responsable de traitement et du sous-traitant
ISO 27701 répartit ses exigences supplémentaires selon la même ligne que celle tracée par le droit de la protection des données : entre l'organisation agissant comme responsable de traitement (décidant pourquoi et comment les DCP sont traitées) et l'organisation agissant comme sous-traitant (traitant des DCP pour le compte d'autrui). De nombreuses organisations sont les deux à la fois, selon le jeu de données, aussi la norme vous fournit-elle deux ensembles de recommandations et vous demande d'appliquer celui qui convient à chaque activité de traitement.
- Les sujets côté responsable de traitement incluent la base légale et la finalité, le consentement et le choix, la transparence envers les personnes, le traitement des demandes des personnes concernées, les registres de traitement, et les obligations lorsque vous partagez des DCP avec des tiers.
- Les sujets côté sous-traitant incluent le fait d'agir uniquement sur instructions documentées, d'assister le responsable de traitement dans ses obligations, de gérer les sous-traitants ultérieurs, et de restituer ou supprimer les DCP au terme d'un contrat.
En pratique, c'est ce qu'une équipe de protection de la vie privée fait déjà dans le cadre des régimes modernes de protection des données, mais ISO 27701 l'organise en mesures auditables avec des preuves documentées, ce qui est précisément ce qui transforme une posture de protection de la vie privée en quelque chose qu'un tiers peut vérifier.
Sa place aux côtés du RGPD
L'erreur d'interprétation la plus courante est de croire que la certification ISO 27701 vous rend conforme au RGPD. Ce n'est pas le cas, et la norme se garde bien de le prétendre. Le RGPD est une loi et ISO 27701 est une norme de système de management volontaire. Ce que 27701 vous apporte, c'est un cadre structuré et certifiable dont les mesures s'alignent étroitement sur les principes de protection des données, ce qui en fait une preuve solide de responsabilité (accountability) et une bonne ossature opérationnelle. Mais la conformité à un régime juridique spécifique exige toujours votre propre analyse juridique, vos registres, et votre traitement démontrable des droits individuels au titre de cette loi.
| Dimension | ISO/IEC 27701 | RGPD |
|---|---|---|
| Nature | Norme de système de management volontaire | Droit contraignant de l'UE |
| Ce qu'elle produit | Un PIMS certifiable | Obligations légales et droits individuels |
| Construite sur | ISO 27001 / ISO 27002 | Principes de protection des données |
| Vérifiée par | Organisme de certification accrédité | Autorités de contrôle et tribunaux |
| Relation | S'aligne sur la conformité et la soutient | L'obligation que 27701 vous aide à respecter |
La manière propre de la mettre en œuvre consiste à ancrer la protection de la vie privée sur le même SMSI que celui que vous utilisez pour la sécurité, à certifier le système combiné à ISO 27001 plus ISO 27701, et à laisser votre délégué à la protection des données et votre équipe juridique maîtres de la loi elle-même. La norme prend en charge la discipline opérationnelle ; eux assurent l'interprétation.
Frequently asked questions
01Puis-je me certifier à ISO 27701 sans ISO 27001 ?
Non. ISO 27701 est une extension qui exige un SMSI ISO 27001 certifié, ou certifié de manière concomitante, comme fondation. Vous étendez le système de management existant en un système de management de la protection de la vie privée plutôt que d'en construire un distinct.
02ISO 27701 rend-elle mon organisation conforme au RGPD ?
Non. C'est une norme volontaire dont les mesures s'alignent étroitement sur les principes de protection des données, ce qui en fait une preuve solide de responsabilité. La conformité effective au RGPD exige toujours votre propre analyse juridique, vos registres, et votre traitement des droits individuels.
03Qu'est-ce qu'un PIMS ?
Un système de management de la protection de la vie privée (PIMS) est ce que vous obtenez lorsqu'ISO 27701 étend un SMSI ISO 27001 pour couvrir la protection des données à caractère personnel, en ajoutant les exigences du responsable de traitement et du sous-traitant aux mesures de sécurité déjà en place.
04ISO 27701 couvre-t-elle à la fois les responsables de traitement et les sous-traitants ?
Oui. Elle fournit des recommandations distinctes pour les organisations agissant comme responsables de traitement de DCP et comme sous-traitants de DCP, et vous appliquez l'ensemble qui convient à chaque activité de traitement. De nombreuses organisations sont les deux selon le jeu de données.
05Quel est le lien entre ISO 27701 et le rôle de DPO ?
Ils sont complémentaires. ISO 27701 fournit le système de management et les mesures auditables, tandis que le délégué à la protection des données maîtrise l'interprétation de la loi, le conseil, et la relation avec les autorités de contrôle. La norme rend le travail du DPO reproductible et documenté.