# ISO/IEC 27018 — Protection des PII en cloud public
> Catégorie : **Certifications normatives** · Slug : `iso-27018` · Source canonique :
**Définition courte** : Code de bonnes pratiques pour la protection des informations personnellement identifiables (PII) dans le cloud public en tant que sous-traitant.
## Statistiques sur les 404 hébergeurs HDS
- ✓ Vérifiés sur source publique : **0**
- ◆ Revendiqués sur source publique : **0**
## Définition
**ISO/IEC 27018:2019** est une norme internationale qui décrit un **code de bonnes pratiques pour la protection des données à caractère personnel (PII — *Personally Identifiable Information*) traitées dans le cloud public, en tant que sous-traitant** (*processor* au sens du RGPD).
Elle prolonge ISO/IEC 27002 par un ensemble de contrôles spécifiques au traitement de PII dans le cloud — typiquement : consentement, finalité, transparence, droit d'accès, restrictions de transfert, suppression à l'extraction.
Au sens du RGPD européen, ISO 27018 est largement reconnue comme un standard d'industrie pour démontrer la conformité d'un sous-traitant cloud à l'article 28 (sous-traitance) et aux exigences de minimisation et de protection des données. Elle est citée par les régulateurs européens (CNIL, EDPB) comme un référentiel acceptable.
La certification ISO 27018 s'obtient en complément d'ISO 27001 et est délivrée par les mêmes organismes accrédités (AFNOR, Bureau Veritas, LSTI, BSI, etc.).
## Pourquoi c'est important pour un hébergeur HDS
Le **référentiel HDS v2.0** (mai 2024) intègre ISO 27018 comme **socle de référence** pour la protection des données personnelles en cloud — autrement dit, elle est de facto requise pour un hébergeur HDS qui opère un cloud mutualisé. À ce titre, la majorité des hébergeurs HDS proprement certifiés sont audités sur des contrôles dérivés d'ISO 27018.
Trois bénéfices distincts pour un acheteur santé :
1. **Conformité RGPD facilitée.** Quand le sous-traitant cloud (le CSP) est certifié ISO 27018, l'analyse de risque DPIA du responsable de traitement (typiquement un établissement de santé) est considérablement simplifiée.
2. **Garanties contractuelles renforcées.** ISO 27018 impose la transparence sur la localisation des données, l'absence d'usage marketing des PII traitées et la documentation des transferts hors UE.
3. **Audit indépendant.** Là où une simple déclaration RGPD du CSP repose sur sa parole, ISO 27018 implique un audit annuel par un tiers accrédité.
## Comment ce critère est attribué dans le comparateur
- **✓ Vérifié** — certificat ISO 27018 actif publié sur le site officiel de l'acteur (numéro + organisme + date) ; OU mention dans le rapport annuel ou un communiqué de presse vérifiable.
- **◆ Revendiqué** — mention ISO 27018 sans publication du certificat.
- **◐ En cours** — démarche de certification annoncée publiquement.
- **— Non documenté** — pas de mention publique. **N'implique pas l'absence du contrôle**.
## Pour quel profil c'est critique
| Profil | Niveau d'exigence |
|---|---|
| Cloud public HDS (multi-tenant) | **Critique** — exigence implicite du référentiel HDS v2.0 |
| Cloud privé / single-tenant | **Important** — facilite l'audit RGPD du client final |
| Éditeur SaaS santé international | **Critique** — exigé par la majorité des grands clients européens |
| Datacenter pur (activité 1 HDS) | **Hors champ** |
## Comment un hébergeur peut se conformer
Pour un CSP déjà certifié ISO 27001 + 27017 :
1. **Cartographie des PII traitées** dans les services cloud offerts (typiquement : noms, prénoms, dates de naissance, identifiants santé chez l'éditeur SaaS).
2. **Mise en place des contrôles supplémentaires** d'ISO 27018 : pas de profilage des PII, traçabilité de chaque accès admin aux données, mécanismes documentés d'extraction et de suppression.
3. **Mise à jour du DPA** (Data Processing Agreement) avec les clients pour refléter les engagements ISO 27018.
4. **Audit** par l'organisme certificateur — typiquement 6 à 9 mois après la décision.
## Plus-value vs coût
**Coût indicatif** (PME française, 2024-2026) :
- Premier audit + certification : 20-40 k€ HT (en plus d'ISO 27001).
- Audits annuels : 6-12 k€ HT.
- Souvent réalisé en combiné avec 27017 (audit conjoint).
**Plus-value** : élevée sur le marché santé multi-tenant et international, mesurée sur le marché santé single-tenant français (où HDS reste prioritaire).
## Sources officielles
- **ISO** — [iso.org/standard/76559.html](https://www.iso.org/standard/76559.html).
- **CNIL** — [Recommandation cloud](https://www.cnil.fr/fr/recommandations-pratiques-sur-le-cloud-computing).
- **EDPB** — [Guidelines on Article 28 GDPR (sous-traitance)](https://edpb.europa.eu/).
## Limites connues de cette évaluation
- Le **référentiel HDS v2.0** intègre déjà des contrôles dérivés d'ISO 27018 — un hébergeur HDS certifié peut donc fonctionnellement satisfaire les exigences sans avoir le certificat ISO 27018 dédié. Notre statut distingue la **certification formelle** de l'**équivalence fonctionnelle**.
- Les certificats publiés peuvent ne pas couvrir l'ensemble des services de l'acteur. Le périmètre exact (services cloud concernés) doit être vérifié sur le certificat lui-même.
## Hébergeurs satisfaisant ce critère
_Aucun hébergeur n'est marqué comme satisfaisant ce critère sur les sources publiques consultées._
## Méthodologie et limites
- ✓ **Vérifié** = source publique citée (registre officiel, verbatim site acteur).
- ◆ **Revendiqué** = mention déclarative non vérifiée indépendamment.
- ◐ **En cours** = démarche datée publiquement.
- — **Non documenté** = information non trouvée. **N'implique pas l'absence du service**.
- Méthodologie complète :
- Équité Guardis vs concurrents :
---
_Comparateur édité par Hasgard SARL. Publication éditoriale indépendante. Licence CC BY-SA 4.0._
_Variante Markdown brut : ajoutez `.md` à l'URL de n'importe quelle page._