Un client m’a récemment demandé si sa certification ISO 27001 suffisait pour répondre aux exigences de la Loi 25.
Ma réponse courte : non. ISO 27001 protège l’information.
ISO/IEC 27701 protège les renseignements personnels.
Si votre organisation collecte, traite ou conserve des renseignements personnels, que ce soit ceux de vos clients, de vos employés ou des clients de vos clients, cette norme vous concerne directement.
Un peu d’historique
La norme a d’abord circulé sous le nom ISO/IEC 27552 à partir de 2016, avant d’être intégrée formellement à la famille ISO et publiée le 6 août 2019 sous son numéro actuel.
Le « 01 » à la fin du numéro n’est pas un hasard parce-que dans la nomenclature ISO, il indique que la norme contient des exigences certifiables, pas seulement des lignes directrices.
Vous pouvez donc faire auditer et certifier votre programme de gestion des renseignements personnels par un organisme de certification accrédité.
Développée à l’origine comme une extension d’ISO/IEC 27001 et ISO/IEC 27002, ISO/IEC 27701 aide les organisations à établir et maintenir des systèmes de gestion des données personnelles en conformité avec les principes de protection de la vie privée à l’échelle mondiale.
Ce qui a changé en 2025
La mise à jour 2025 remplace la version de 2019 et introduit des changements structurels et conceptuels qui rendent le cadre PIMS plus clair, plus flexible et plus facile à intégrer dans différents types d’organisations.
Le changement le plus significatif : ISO/IEC 27701:2025 est maintenant une norme autonome.
Vous n’avez plus besoin d’être certifié ISO 27001 pour obtenir la certification ISO 27701:2025. La norme peut désormais être implantée et certifiée de façon indépendante.
Cela permet aux organisations plus petites ou moins axées sur la sécurité d’adopter ISO 27701 sans les obligations d’un système de gestion de la sécurité de l’information complet.
Cela dit, pour la grande majorité des organisations qui gèrent déjà ISO 27001, l’intégration des deux normes reste la voie la plus efficace.
C’est quoi exactement un renseignement personnel?
Un renseignement personnel (PII — Personally Identifiable Information) est toute information permettant d’identifier une personne spécifique, directement ou indirectement.
Nom, adresse, numéro de téléphone, adresse courriel, adresse IP, données de localisation, informations médicales, données biométriques : tous ces éléments sont des renseignements personnels.
Ce qui rend la gestion de ces données complexe, c’est qu’une organisation peut avoir deux rôles distincts :
- Responsable du traitement (PII Controller) : vous décidez pourquoi et comment les données sont collectées et utilisées
- Sous-traitant (PII Processor) : vous traitez des données pour le compte d’une autre organisation
ISO/IEC 27701 adresse les deux rôles, avec des contrôles distincts selon votre position.
La structure de la norme 2025
La version 2025 adopte la structure harmonisée Annexe SL, commune à tous les systèmes de gestion ISO. Si vous connaissez ISO 27001, vous reconnaîtrez le fil conducteur.
Les clauses principales :
- Clause 4 — Contexte de l’organisation : définir le périmètre du PIMS, les parties intéressées et votre rôle (responsable ou sous-traitant)
- Clause 5 — Leadership : la norme exige que la direction établisse un engagement clair envers le PIMS
- Clause 6 — Planification : identifier les risques et opportunités liés à la protection des renseignements personnels, définir un processus d’évaluation des risques et créer un énoncé d’applicabilité documentant les contrôles retenus.
- Clause 7 — Support : ressources, compétences, sensibilisation et documentation
- Clause 8 — Opération : mise en œuvre des contrôles, gestion des incidents de vie privée, évaluations d’impact (PIA)
- Clause 9 — Évaluation de la performance : audits internes, revue de direction
- Clause 10 — Amélioration : traitement des non-conformités et amélioration continue
Les annexes ont été restructurées. La nouvelle structure inclut 31 contrôles de protection de la vie privée pour les responsables du traitement, 18 pour les sous-traitants et 29 contrôles de sécurité de l’information.
Ce que ça signifie pour votre conformité à la Loi 25
ISO/IEC 27701 n’est pas un substitut à la Loi 25. C’est un cadre qui vous aide à démontrer que vous avez pris des mesures structurées et auditables pour protéger les renseignements personnels.
La norme améliore le lien entre ses contrôles et les exigences de réglementations comme le RGPD, le CCPA et d’autres lois, permettant un modèle de gouvernance unique et cohérent pour des opérations internationales.
En pratique, une certification ISO/IEC 27701 vous donne :
- Une preuve structurée et vérifiable par un tiers que vous gérez les renseignements personnels sérieusement
- Un cadre pour répondre aux droits des personnes concernées : accès, rectification, suppression
- Une base solide pour vos évaluations des facteurs relatifs à la vie privée (EFVP), exigées par la Loi 25 pour les projets à risque élevé
- Un avantage lors des appels d’offres où vos clients évaluent votre maturité en protection des données
Si vous êtes certifié ISO 27701:2019, quoi faire?
Les organisations certifiées sous la version 2019 ont jusqu’en octobre 2028 pour effectuer la transition vers la version 2025.
Les organismes de certification attendent encore les directives formelles de l’IAF pour démarrer les audits de transition, donc aucune action urgente n’est requise immédiatement. Mais c’est le moment d’amorcer votre analyse d’écarts.
Bref, ISO/IEC 27701 répond à une question que vos clients, vos partenaires et la Commission d’accès à l’information vont inévitablement vous poser : comment démontrez-vous que vous protégez les renseignements personnels de façon systématique et vérifiable?
Une bonne intention et une politique dans un tiroir ne suffisent plus. Un programme structuré, audité et certifié, oui.
