ISO/IEC 27701 est la norme internationale qui étend ISO/IEC 27001 avec un système de management de la protection de la vie privée (PIMS, Privacy Information Management System). Dit simplement : ce qu'ISO 27001 fait pour la sécurité de l'information, ISO 27701 le fait pour la vie privée. Et voici l'opportunité : avec le RGPD désormais consolidé, l'AI Act qui entre en jeu et NIS2 qui impose de protéger les données, la convergence entre sécurité et vie privée est la direction claire du marché. Dans cet article, je vous explique ce qu'est ISO 27701, comment elle se relie au RGPD et pourquoi Lead Implementer est l'une des certifications les plus prometteuses en vie privée pour 2026.
Qu'est-ce qu'ISO/IEC 27701 et qu'est-ce qu'un PIMS
ISO/IEC 27701, publiée en 2019, est une norme internationale qui définit les exigences pour établir, mettre en œuvre, maintenir et améliorer en continu un système de management de la protection de la vie privée (Privacy Information Management System, ou PIMS). C'est une extension d'ISO/IEC 27001 et d'ISO/IEC 27002, non une norme indépendante.
Un PIMS est à la vie privée ce qu'un SMSI est à la sécurité : un cadre formel, auditable et certifiable, qui démontre que votre organisation gère les données personnelles de façon systématique, pas improvisée. Il couvre aussi bien le rôle de responsable du traitement (data controller) que celui de sous-traitant (data processor), avec des exigences spécifiques pour chacun.
Sa relation avec ISO/IEC 27001
ISO/IEC 27701 ne fonctionne pas seule : elle requiert un SMSI conforme à ISO/IEC 27001 comme socle. La norme étend les exigences de 27001 avec des clauses spécifiques de vie privée et ajoute deux nouvelles annexes :
- Annexe A : mesures spécifiques aux responsables du traitement (data controllers).
- Annexe B : mesures spécifiques aux sous-traitants (data processors).
En pratique, si votre organisation dispose déjà d'ISO 27001, se certifier en 27701 est un complément, pas une reconstruction. Les organismes de certification le comprennent comme une « extension » du certificat 27001 existant. Cela réduit fortement le coût et la durée du projet.
Comment elle se relie au RGPD
Voici la lecture la plus importante pour le marché européen. ISO 27701 n'est pas certifiable comme preuve de conformité au RGPD (il n'existe pas de certification officielle du RGPD), mais la mise en place d'un PIMS conforme à 27701 couvre la grande majorité des exigences du RGPD.
De fait, l'Annexe D de la norme inclut une correspondance détaillée entre les articles du RGPD et les clauses de 27701. Mettre en place 27701 avec rigueur signifie, en pratique :
- Disposer d'un registre des activités de traitement complet et à jour.
- Documenter les bases de licéité de chaque traitement.
- Gérer les droits des personnes concernées par des processus formels.
- Disposer d'un processus d'analyses d'impact (AIPD) auditable.
- Gérer les violations avec des délais et des modèles définis.
- Documenter les transferts internationaux avec leurs garanties.
C'est pourquoi de nombreuses organisations ayant déjà fait le travail de mise en conformité au RGPD passent à 27701 : cela leur permet de consolider tout ce qu'elles ont déjà dans un cadre certifiable.
Ce que couvre le cours Lead Implementer
Le cours PECB Certified ISO/IEC 27701 Lead Implementer est une formation intensive de cinq jours. Le programme couvre :
- Fondamentaux et contexte. Concepts de vie privée, relation avec le RGPD, principes d'un PIMS.
- Planification et mise en œuvre du PIMS. Sur la base d'un SMSI conforme à ISO 27001, extension à la vie privée.
- Analyse des risques liés à la vie privée. AIPD, identification des traitements à haut risque, méthodologie.
- Mise en œuvre des mesures des Annexes A et B. Mesures spécifiques aux responsables du traitement et aux sous-traitants.
- Mesure, amélioration continue et préparation à l'audit. Indicateurs, revue de direction et préparation à la certification.
Pour quels profils c'est pertinent
ISO 27701 Lead Implementer convient particulièrement à ces profils :
- DPO déjà certifié qui veut s'ouvrir au cadre international et à la certification.
- Consultant en vie privée qui veut proposer des services de mise en place de PIMS au-delà de la conformité RGPD de base.
- Responsable de la sécurité (CISO) avec ISO 27001 qui veut étendre le SMSI à la vie privée.
- Responsable conformité dans des secteurs très réglementés (banque, santé, assurance) où la vie privée est critique.
- Sous-traitant qui veut se certifier pour démontrer sa fiabilité à ses clients responsables du traitement.
Pourquoi c'est une certification d'avenir
Trois raisons de miser sur ISO 27701 maintenant :
Première : la convergence réglementaire. L'AI Act introduit des exigences spécifiques de gouvernance des données pour les systèmes d'IA. NIS2 renforce la sécurité de l'information. Le RGPD est toujours là. La convergence, c'est un PIMS qui unifie le tout. ISO 27701 est la réponse.
Deuxième : certifiable et démontrable. À la différence du RGPD (qui ne se certifie pas formellement), 27701 se certifie. De plus en plus de clients B2B (en particulier dans les secteurs réglementés) exigent de leurs fournisseurs 27001 + 27701 comme preuve de fiabilité en vie privée.
Troisième : une barrière d'entrée basse pour qui a déjà 27001. Si votre organisation (ou vos clients) disposent déjà d'ISO 27001, ajouter 27701 est un projet gérable. Cela crée une demande croissante et, surtout, stable.
ISO 27701 est la pièce qui réunit sécurité et vie privée sous un même cadre de management. En 2026, ce sera la certification qui distinguera les professionnels de la vie privée sérieux de ceux qui ne connaissent le RGPD qu'en surface.
Se former et se certifier
Si vous voulez franchir le pas vers la certification officielle PECB, le cours ISO/IEC 27701 Lead Implementer est la voie directe : Self-Study officiel PECB pour avancer à votre rythme et préparer l'examen de certification.