Nouvelle norme ISO/IEC 27701:2025

Voilà c’est fait, la norme ISO/IEC 27701:2025 vient enfin d’être publiée.

Pour tous ceux qui ont travaillé avec la ISO/IEC 27001:2022 et la ISO/IEC 27701:2019, cette mise à jour était très attendue.

J’avoue que c’était difficile travailler avec la version de 2019 puisque les deux versions désynchronisées, ce qui compliquait la conformité et surtout l’intégration des deux.

Mais voilà c’est maintenant chose du passé. La version 2025 corrige cela et elle est pleinement alignée avec la structure et la terminologie d’ISO/IEC 27001:2022.

Private — Photo by Dayne Topkin on Unsplash

Maintenant une norme maintenant indépendante

C’est le changement le plus important, la norme ISO/IEC 27701:2025 n’est plus une extension d’ISO 27001, mais une norme à part entière.

Il est maintenant possible de certifier un PIMS (Privacy Information Management System) sans devoir posséder ou maintenir un SGSI complet.

La vie privée est désormais reconnue comme un domaine de gouvernance à part entière, comme la sécurité de l’information.

C’est certain que l’intégration est facile et possible avec les autres normes ISO (ISO 27001, ISO 9001, etc.).

Nouvelles structures et annexes

Les clauses 4 à 10 ont été repensées pour offrir un cadre adapté à la gestion de la vie privée. La structure reste familière mais chaque clause est désormais formulée pour le PIMS.

  • Annexe A : fusion des obligations des responsables de traitement (RT) et des sous-traitants (ST) dans une section unique et simplifiée.
  • Annexe B : une nouveauté majeure qui apporte des guides concrets de mise en œuvre(comme le faisait 27002 pour le 27001), on y retrouve des exemples de politiques, de DPIA (analyses d’impact), de gestion du consentement, ou encore de notification d’incident.
  • Annexe C : renvoi explicite à la correspondance avec les autres cadres réglementaires (RGPD, LGPD, CCPA, etc.).

Autres exigences et élargissement des obligations

La norme introduit plusieurs nouvelles obligations clés :

  • Clause 4.3 — Définition du champ d’application : la nécessité d’être aligné avec ISO 27001 a été supprimée.
  • Clause 5.2 — Politique de vie privée : désormais obligatoire.
  • Clause 5.3 — Rôles et responsabilités : des rôles clairement définis sont requis.
  • Clause 6.1 — Gestion des risques de vie privée : introduction d’une approche spécifique de gestion du risque en matière de vie privée.
  • Clauses 6.2 et 9.1 — Objectifs et indicateurs (KPI) : les objectifs doivent être mesurables, suivis et faire l’objet de rapports clairs.

Encore une fois augmente la traçabilité et la responsabilisation, notamment pour les DPO et CISO.

Vision mondiale

Alors que la version 2019 était très proche ou inspirée du RGPD, la version 2025 adopte une vision internationale.

Elle couvre maintenant :

  • le RGPD (Europe),
  • le CCPA (Californie),
  • la LGPD (Brésil),
  • ainsi que d’autres cadres d’Afrique, du Moyen-Orient ou d’Asie.

Cette approche globale permet aux entreprises d’avoir un seul cadre certifié et cohérent, qui fonctionne partout dans le monde pour gérer la conformité des données personnelles dans plusieurs juridictions.

Nouveaux thèmes et exigences techniques

La norme couvre aussi à des sujets que la version 2019 n’abordait pas vraiment:

  • Protection de la vie privée dans l’IA : exigences de transparence, de minimisation et de consentement pour les systèmes algorithmiques.
  • Transferts transfrontaliers de données : obligations renforcées en matière de documentation, de clauses contractuelles et d’évaluation de risques.
  • Protection des données biométriques : reconnaissance faciale, empreintes digitales, voix, etc.
  • Encadrement du télétravail et du BYOD : nouvelles exigences de sécurisation des environnements personnels.

Date de publication et période de transition

Comme toute autre norme ISO, les organisations disposent d’une période de transition de trois ans pour se conformer aux nouvelles exigences.

Cette période débute aujourd’hui: 14 Octobre 2025.

L’édition 2025 marque une évolution importante. Plus moderne et plus simple à intégrer. Elle consacre la protection de la vie privée comme un domaine de gouvernance indépendant et stratégique.

Référence ISO : https://www.iso.org/standard/27701

Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur les sujets liés à la sécurité de l’information et à la vie privée.