# ISO/IEC 27701 — Système de management de la vie privée

> Catégorie : **Certifications normatives** · Slug : `iso-27701` · Source canonique : <https://www.hebergeurs-de-donnees-de-sante.fr/criteres/iso-27701/>

**Définition courte** : Extension d'ISO 27001 et 27002 pour la gestion de la vie privée. Aligne le SMSI sur les exigences RGPD.

## Statistiques sur les 404 hébergeurs HDS

- ✓ Vérifiés sur source publique : **0**
- ◆ Revendiqués sur source publique : **3**

## Définition

**ISO/IEC 27701:2019** est une **extension d'ISO 27001 et 27002 pour la gestion de la vie privée**. Elle décrit les exigences d'un **PIMS** (*Privacy Information Management System* — système de management de la protection de la vie privée) qui vient s'empiler sur le SMSI existant.

Concrètement, ISO 27701 ajoute&nbsp;:

- Des exigences pour la gestion des PII en tant que **responsable de traitement** (*controller*).
- Des exigences pour la gestion des PII en tant que **sous-traitant** (*processor*).
- Une cartographie explicite des exigences vis-à-vis du **RGPD** et d'autres réglementations vie privée (CCPA, LGPD, etc.).

ISO 27701 est largement reconnue comme **le standard d'industrie pour démontrer la conformité opérationnelle au RGPD**. Plusieurs autorités européennes (notamment la CNIL) la citent comme référentiel acceptable pour démontrer la conformité de l'article 24 du RGPD ("Responsabilité du responsable de traitement").

## Pourquoi c'est important pour un hébergeur HDS

Pour un hébergeur HDS, ISO 27701 traduit la **maturité de gouvernance RGPD** au-delà des contrôles techniques. Les bénéfices&nbsp;:

1. **Réduction du risque administratif.** La CNIL peut s'appuyer sur la certification pour orienter ses contrôles. Une non-conformité ponctuelle a moins de risque d'aboutir à une sanction lourde si le PIMS global est certifié.
2. **Facilitation des contrats internationaux.** Pour les éditeurs SaaS santé qui servent des clients hors UE (Suisse, Royaume-Uni, Canada), ISO 27701 démontre une approche unifiée de la vie privée.
3. **Argument commercial fort.** Sur les appels d'offres grandes structures (mutuelles, groupes hospitaliers), ISO 27701 distingue les fournisseurs matures des fournisseurs déclaratifs.

## Comment ce critère est attribué dans le comparateur

- **✓ Vérifié** — certificat ISO 27701 actif publié.
- **◆ Revendiqué** — mention ISO 27701 sans publication du certificat.
- **◐ En cours** — démarche annoncée publiquement.
- **— Non documenté** — pas de mention publique.

## Pour quel profil c'est critique

| Profil | Niveau d'exigence |
|---|---|
| Éditeur SaaS santé européen | **Important** — argument commercial fort, exigé par les grands acheteurs |
| Hébergeur HDS gestionnaire de DPO mutualisé | **Critique** — fonde la prestation DPO |
| Plateforme de recherche clinique multi-pays | **Important** — facilite les transferts internationaux |
| Datacenter pur | **Hors champ** |
| TPE/PME santé | **Pertinent mais non bloquant** — HDS + 27001 suffit |

## Comment un hébergeur peut se conformer

ISO 27701 est généralement obtenue en **9 à 18 mois** après ISO 27001&nbsp;:

1. **Désignation d'un DPO** (déjà obligatoire RGPD pour la santé).
2. **Cartographie des traitements PII** (registre RGPD article 30).
3. **Évaluation des risques vie privée** (PIA — *Privacy Impact Assessment*).
4. **Mise en conformité opérationnelle** — gestion des demandes des personnes concernées, transferts, breach notification, etc.
5. **Audit** par un organisme accrédité.

## Plus-value vs coût

**Coût indicatif**&nbsp;:
- Premier audit + certification&nbsp;: 30-60 k€ HT.
- Audits annuels&nbsp;: 10-20 k€ HT.

**Plus-value**&nbsp;: élevée sur le marché européen multi-pays, modérée sur le marché français pur (où HDS + 27001 + 27018 suffit la plupart du temps).

## Sources officielles

- **ISO** — [iso.org/standard/71670.html](https://www.iso.org/standard/71670.html).
- **CNIL** — [Guide RGPD du sous-traitant](https://www.cnil.fr/sites/cnil/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf).
- **EDPB** — [Guidelines on Certification (article 42 RGPD)](https://edpb.europa.eu/).

## Hébergeurs satisfaisant ce critère

### ◆ Revendiqué sur source publique (3)

- [CASD](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/casd/)
- [OODRIVE SAS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/oodrive-sas/)
- [PADOA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/padoa/)

## Méthodologie et limites

- ✓ **Vérifié** = source publique citée (registre officiel, verbatim site acteur).
- ◆ **Revendiqué** = mention déclarative non vérifiée indépendamment.
- ◐ **En cours** = démarche datée publiquement.
- — **Non documenté** = information non trouvée. **N'implique pas l'absence du service**.
- Méthodologie complète : <https://www.hebergeurs-de-donnees-de-sante.fr/verification/>
- Équité Guardis vs concurrents : <https://www.hebergeurs-de-donnees-de-sante.fr/equite-methodologique/>

---

_Comparateur édité par Hasgard SARL. Publication éditoriale indépendante. Licence CC BY-SA 4.0._
_Variante Markdown brut : ajoutez `.md` à l'URL de n'importe quelle page._