ISO 27701 devient un standard autonome
En 2021, la norme se présentait comme une extension de la norme ISO/IEC 27001. Dans sa nouvelle version, elle se détache de cet ancrage en se positionnant comme un référentiel autosuffisant capable, comme précédemment, de faire certifier un système de management de l’information relative à la vie privée (PIMS : Privacy Information Management System) sans avoir préalablement fait certifier un SMSI (système de management de la sécurité de l’information) sur la base ISO/IEC 27001. Le parti pris de la nouvelle version de la norme ISO/IEC 27701 est clair : étendre son utilisation à un plus grand nombre de structures par rapport à la version précédente de la norme.
Attention, la connexion entre un PIMS et SMSI reste toujours recommandé, sans toutefois être obligatoire.
Les changements majeurs dans le contenu de la norme ISO/IEC 27701 v 2025
La structure globale de la norme ISO/IEC 27701 a été revue pour être alignée à la structure harmonisée des normes de systèmes de management. Les mesures de sécurité ont notamment été réorganisés au sein de 3 catégories en Annexe A (normative) :
- Mesures de sécurité pour les responsables de traitement
- Mesures de sécurité pour les sous-traitants
- Mesures de sécurité de l’information applicables pour les deux et liées aux exigences de la norme ISO/IEC 27001
De plus, les Annexes A et B ont été revues afin de proposer des contenus qui s’adaptent mieux aux exigences réglementaires (RGPD notamment) et aux évolutions technologiques (intelligence artificielle par exemple), dont les usages impactent le management de la vie privée.
Une gestion des risques élargie et renforcée
Biais algorithmiques, prises de décision automatisée, partages de données avec des tiers, transferts data transfrontaliers/transcontinentaux… La nouvelle version de la norme ISO/IEC 27701 prend en compte une configuration élargie des risques liés à la protection de la vie privée.
En ouvrant son utilisation à un plus grand nombre de structures, la version 2025 de la norme introduit cependant des exigences renforcées en termes de :
- Rigueur de la gouvernance
- Exhaustivité de la documentation
- Maturité de la gestion des risques
Quand s’appliquera la version mise à jour de la norme ISO/IEC 27701 ?
Les structures qui sont déjà certifiées sur l’ancienne version de la norme ont jusqu’à 3 ans pour se conformer à cette version 2025.
Profitez-en pour vous former sur la protection de la vie privée !
Maîtriser les exigences de la norme ISO 27701 devient un atout pour toute personne qui s’implique dans la protection des données et de la vie privée de son entreprise. Aujourd’hui, il n’est plus nécessaire d’être membre de l’équipe RSSI pour mettre en œuvre les exigences d’ISO/IEC 27701. Une vraie avancée pour les DPO et tous les acteurs concernés par la protection de la vie privée (acheteurs, commerciaux, supply chain, ressources humaines, conduite de projets, etc.).
Mettre en avant son implication dans la mise en œuvre des nouvelles exigences d’ISO/IEC 27701 est un vrai atout pour toute entreprise qui cherche à renforcer la confiance de ses parties prenantes.
En conclusion,
La norme ISO/IEC 27701 a été mise à jour afin de mieux prendre en compte les enjeux actuels en matière de gestion de la vie privée. Elle est actuellement disponible en français dans sa version IEC et le sera bientôt en version NF.
Comment se former au Management de la protection de la vie privée ?
AFNOR Compétences vous propose la Formation ISO 27701 - Management de la protection de la vie privée
