ISO/IEC 27701 :2025 : Ce que vous devez savoir

En octobre 2025, l’Organisation internationale de normalisation (ISO) a officiellement publié la norme ISO/IEC 27701:2025, la version mise à jour de la norme internationale relative aux systèmes de management de la protection des informations personnelles (PIMS). Cette nouvelle édition marque une évolution majeure dans la manière dont les organisations abordent la protection des données personnelles et la gouvernance de la vie privée.

Dans cet article, nous présentons une synthèse claire des principales évolutions, expliquons leurs impacts pour les organisations et les professionnels et partageons des recommandations pratiques afin de faciliter une transition efficace et maîtrisée.

Une norme autonome dédiée à la gestion de la vie privée

Contrairement à la version 2019, conçue comme une extension d’ISO/IEC 27001 et d’ISO/IEC 27002, l’édition 2025 devient une norme autonome. Les organisations peuvent désormais mettre en œuvre et faire certifier un PIMS indépendamment, sans devoir disposer au préalable d’un Système de management de la sécurité de l’information (SMSI).

Cette évolution ouvre l’accès à un public plus large d’organisations, y compris celles qui ne disposent pas encore d’un SMSI, leur permettant d’adopter un cadre international reconnu, spécifiquement dédié à la protection des données personnelles, à la gestion des risques liés à la vie privée et au respect des exigences réglementaires.

Par ailleurs, la structure de la norme ISO/IEC 27701 :2025 est désormais alignée sur les cadres des normes de systèmes de management tels que ISO/IEC 27001, ISO/IEC 42001, ISO 9001 et ISO 22301. Cet alignement facilite l’intégration dans des environnements multinormes et renforce la cohérence pour les organisations gérant plusieurs certifications simultanément.

Principales évolutions entre ISO/IEC 27701 :2019 et ISO/IEC 27701 :2025

Mises à jour de la structure des clauses

Exigences mises à jour, clause par clause

Les clauses 4 à 10 ont été affinées afin d’assurer une meilleure clarté, cohérence et applicabilité opérationnelle :

• Clause 4 (Contexte de l’organisme): L’édition 2025 élargit le périmètre en exigeant que l’organisme prenne en compte les facteurs internes et externes, y compris les exigences légales, réglementaires, de gouvernance et liées au climat, lors de la définition du contexte du PIMS. Elle précise également les attentes relatives à l’identification des parties intéressées pertinentes et à la prise en compte de leurs exigences. Une évolution majeure réside dans le fait que la détermination du périmètre porte désormais sur le périmètre du PIMS, et non plus sur celui du SMSI.
• Clause 5 (Leadership): Contrairement à l’édition 2019, dans laquelle seules les exigences de leadership du SMSI s’appliquaient, cette clause définit clairement les responsabilités de la direction en matière de PIMS. La direction doit aligner la politique et les objectifs de protection de la vie privée avec l’orientation stratégique de l’organisation, intégrer le PIMS dans les processus métiers, allouer les ressources nécessaires et promouvoir l’amélioration continue. La clause précise également les attentes relatives à l’établissement d’une politique de confidentialité appropriée, à la définition d’objectifs, au respect des exigences applicables ainsi qu’à la documentation et à la communication associées. La direction doit en outre attribuer et communiquer les rôles et responsabilités, veiller à la conformité du PIMS et assurer le suivi et le reporting de sa performance au plus haut niveau, renforçant ainsi une supervision directe et effective de la gestion de la protection des données personnelles.
• Clause 6 (Planification):  Cette clause définit explicitement la planification du PIMS et la gestion des risques en matière de protection de la vie privée, sans dépendance à l’ISO/IEC 27001. Les organisations doivent tenir compte du contexte et des parties intéressées, réaliser des évaluations structurées des risques liés à la confidentialité et documenter les plans de traitement des risques relatifs à la protection des données personnelles et à la sécurité. Les objectifs définis sont désormais spécifiques à la confidentialité et mesurables. Une nouvelle sous-clause, 6.3 « Planification des changements », a également été introduite afin de formaliser la manière dont les modifications du PIMS doivent être planifiées et maîtrisées.
• Clause 7 (Support et fonctionnement) : Cette clause remplace les références à l’ISO/IEC 27001 par des exigences autonomes propres au PIMS. Elle exige que l’organisation alloue les ressources nécessaires, assure la compétence et la sensibilisation du personnel, et définisse des modalités de communication claires relatives au PIMS. Les exigences en matière d’information documentée sont précisées et couvrent la création, la révision, l’approbation, la maîtrise des versions, le stockage, la conservation et la disposition des documents. Ces évolutions renforcent la clarté des responsabilités, la traçabilité et l’efficacité opérationnelle dans la gestion du PIMS.
• Clause 8 (Pilotage opérationnel) : Cette clause regroupe les exigences relatives à la planification, à l’évaluation et au traitement des risques liés à la protection de la vie privée au sein d’un cadre opérationnel unique. Elle précise la nécessité de planifier, mettre en œuvre et maîtriser les processus du PIMS, de gérer les changements de manière structurée et de superviser les services externalisés sur la base d’informations documentées. Les notions d’« évaluation des risques de sécurité de l’information » et de « traitement des risques » sont remplacées par des exigences spécifiquement orientées vers les risques liés à la protection des données à caractère personnel, mettant l’accent sur des évaluations documentées et sur la mise en œuvre de mesures de traitement appropriées et efficaces pour les risques identifiés.
• Clause 9 (Évaluation de la performance) : L’édition 2025 remplace les références à l’ISO/IEC 27001 par des exigences explicites en matière de surveillance, de mesure et d’évaluation de la performance du PIMS, incluant la conservation de preuves documentées de son efficacité. Elle impose la réalisation d’audits internes à intervalles planifiés afin d’évaluer la conformité, la mise en œuvre et le maintien du système. La direction doit également procéder à des revues périodiques du PIMS afin de garantir sa pertinence, son adéquation et son efficacité continues.
• Clause 10 Clause 10 (Amélioration) : Cette clause exige désormais que les organisations améliorent la pertinence, l’adéquation et l’efficacité du PIMS, et non plus de l’ISMS. La version 2025 précise également un processus détaillé pour la gestion des non-conformités et la mise en œuvre d’actions correctives.

Annexes et correspondances élargies

Les annexes de la norme ISO/IEC 27701 :2025 ont été réorganisées et enrichies afin d’améliorer la clarté et la lisibilité. Les objectifs de contrôle et contrôles de référence du PIMS applicables aux responsables du traitement des données à caractère personnel (PII controllers) et aux sous-traitants (PII processors), ainsi que les lignes directrices spécifiques à leur mise en œuvre, sont désormais regroupés dans les annexes A et B de la norme.

La correspondance avec l’ISO/IEC 29100 continue de remplir le même rôle que dans la version 2019, bien que les contrôles de l’ISO/IEC 27701 aient été mis à jour. Il en va de même pour l’Annexe E, qui conserve les correspondances avec les normes ISO/IEC 27018 et ISO/IEC 29151. L’Annexe D, relative au Règlement Général sur la Protection des Données (RGPD), a quant à elle été révisée afin de mieux illustrer comment l’ISO/IEC 27701 :2025 peut servir de cadre de certification pour démontrer la conformité aux législations internationales en matière de protection des données personnelles. Enfin, afin de faciliter l’identification des évolutions majeures en matière de contrôles de confidentialité et de sécurité de l’information, la norme ISO/IEC 27701 : 2025 introduit l’Annexe F, qui présente une correspondance détaillée avec l’ISO/IEC 27701 : 2019.

Évolutions apportées aux annexes

Les annexes de la norme ISO/IEC 27701 ont été renommées et renumérotées. L’Annexe A a été consolidée en une seule annexe, alors qu’elle était auparavant répartie en deux annexes distinctes pour les responsables de traitement des PII et les sous-traitants. La nouvelle Annexe A regroupe désormais les contrôles de sécurité applicables à la fois aux responsables de traitement et aux sous-traitants, dont un grand nombre sont alignés sur les contrôles de sécurité de l’information définis dans les normes ISO/IEC 27001 et ISO/IEC 27002.

L’Annexe B a été entièrement réécrite et enrichie. Elle remplace les orientations de mise en œuvre de l’édition 2019, qui étaient auparavant réparties entre les clauses 7 et 8. Cette annexe fournit désormais des indications pratiques et détaillées pour l’application des contrôles définis dans l’Annexe A.

Toutes les autres annexes demeurent inchangées, à l’exception de l’Annexe F. Celle-ci ne fournit plus de recommandations sur l’application de la norme ISO/IEC 27701 en lien avec ISO/IEC 27001 et ISO/IEC 27002. Elle présente désormais une correspondance entre l’édition 2025 et la version ISO/IEC 27701 :2019.

Ce que cela signifie pour les organisations

L’édition 2025 permet aux organisations de mettre en œuvre un Système de management de l’information de confidentialité (PIMS) de manière autonome, sans exiger l’existence préalable d’un Système de management de la sécurité de l’information (SMSI). Cette évolution accroît la flexibilité et l’accessibilité de la norme pour les organisations de toutes tailles et de tous secteurs. Les principaux avantages incluent notamment :

• Une focalisation renforcée sur la protection de la vie privée, plutôt que sur une intégration technique au SMSI.
• Une meilleure compatibilité et un alignement simplifié avec les autres normes de systèmes de management.
• Une clarification accrue des exigences légales et des responsabilités des parties intéressées.
• Des orientations mises à jour, tenant compte des technologies modernes, notamment le cloud computing et l’intelligence artificielle.

Étapes pour une transition fluide

1. Réaliser une analyse d’écart : comparer les pratiques PIMS actuelles aux exigences des clauses et annexes de l’édition 2025.
2. Mettre à jour la documentation et les processus : réviser les politiques, procédures et contrôles afin de les aligner sur la nouvelle structure.
3. Planifier le calendrier de transition : définir des jalons internes clairs et les aligner avec les échéances de certification.
4. Intégrer les systèmes : le cas échéant, assurer l’alignement avec l’ISO/IEC 27001:2022 ou d’autres systèmes de management.
5. Communiquer et former les équipes : sensibiliser et former les responsables de la confidentialité, les équipes IT et conformité à la terminologie et aux exigences mises à jour.
6. Amélioration continue : mettre en place un suivi permanent afin de garantir la conformité et l’adaptation aux évolutions réglementaires en matière de protection des données.

La publication de cette nouvelle édition redéfinit en profondeur l’approche des organisations en matière de gouvernance de la vie privée. La date limite de transition vers la version ISO/IEC 27701:2025 est fixée à octobre 2028. Les règles officielles de transition émises par les organismes d’accréditation devraient être publiées prochainement.

Opportunités pour les professionnels : développez et valorisez votre expertise

La transition vers l’ISO/IEC 27701 :2025 offre de réelles opportunités aux professionnels souhaitant renforcer leurs compétences ou se spécialiser en management de la protection de la vie privée. Les individus peuvent notamment bénéficier de :

• De meilleures perspectives de carrière dans les domaines de la protection des données, de la conformité, de la gouvernance et de la gestion des risques.
• Une maîtrise actualisée des exigences PIMS et des méthodes de mise en œuvre les plus récentes.
• Des parcours de certification permettant de valider des compétences en opérations de confidentialité, audit et gestion des risques.
• Des formations adaptées aussi bien aux débutants qu’aux professionnels expérimentés recherchant une expertise technique approfondie.

Que vous soyez responsable de la protection des données, professionnel IT, auditeur, consultant ou futur spécialiste de la conformité, le développement de vos compétences via la formation ISO/IEC 27701:2025 vous permet de rester en avance dans un domaine en constante évolution.

La transition d’ISO/IEC 27701:2019 vers la version 2025 va bien au-delà d’une simple mise à jour de conformité : elle reflète une évolution vers un système de management autonome, centré sur la protection de la vie privée. En comprenant ces changements et en adoptant une démarche de transition structurée, les organisations peuvent renforcer leurs pratiques de confidentialité, accroître la confiance des parties intéressées et rester conformes dans un environnement réglementaire en constante évolution.

Préparez la transition avec les formations PECB

Commencez dès aujourd’hui votre parcours de transition avec la formation ISO/IEC 27701 :2025 Transition. Cette formation comprend une introduction à la norme ISO/IEC 27701 :2025 et à son évolution depuis la version ISO/IEC 27701 :2019, ainsi qu’une comparaison clause par clause et des recommandations pratiques pour la mise en œuvre de la transition.

Si vous souhaitez suivre cette formation, veuillez consulter les sessions planifiées ou nous contacter à support@pecb.com.