ISO/IEC 27701 — Système de management de la vie privée
Extension d'ISO 27001 et 27002 pour la gestion de la vie privée. Aligne le SMSI sur les exigences RGPD.
Définition
ISO/IEC 27701:2019 est une extension d'ISO 27001 et 27002 pour la gestion de la vie privée. Elle décrit les exigences d'un PIMS (Privacy Information Management System — système de management de la protection de la vie privée) qui vient s'empiler sur le SMSI existant.
Concrètement, ISO 27701 ajoute :
- Des exigences pour la gestion des PII en tant que responsable de traitement (controller).
- Des exigences pour la gestion des PII en tant que sous-traitant (processor).
- Une cartographie explicite des exigences vis-à-vis du RGPD et d'autres réglementations vie privée (CCPA, LGPD, etc.).
ISO 27701 est largement reconnue comme le standard d'industrie pour démontrer la conformité opérationnelle au RGPD. Plusieurs autorités européennes (notamment la CNIL) la citent comme référentiel acceptable pour démontrer la conformité de l'article 24 du RGPD ("Responsabilité du responsable de traitement").
Pourquoi c'est important pour un hébergeur HDS
Pour un hébergeur HDS, ISO 27701 traduit la maturité de gouvernance RGPD au-delà des contrôles techniques. Les bénéfices :
- Réduction du risque administratif. La CNIL peut s'appuyer sur la certification pour orienter ses contrôles. Une non-conformité ponctuelle a moins de risque d'aboutir à une sanction lourde si le PIMS global est certifié.
- Facilitation des contrats internationaux. Pour les éditeurs SaaS santé qui servent des clients hors UE (Suisse, Royaume-Uni, Canada), ISO 27701 démontre une approche unifiée de la vie privée.
- Argument commercial fort. Sur les appels d'offres grandes structures (mutuelles, groupes hospitaliers), ISO 27701 distingue les fournisseurs matures des fournisseurs déclaratifs.
Comment ce critère est attribué dans le comparateur
- ✓ Vérifié — certificat ISO 27701 actif publié.
- ◆ Revendiqué — mention ISO 27701 sans publication du certificat.
- ◐ En cours — démarche annoncée publiquement.
- — Non documenté — pas de mention publique.
Pour quel profil c'est critique
| Profil | Niveau d'exigence |
|---|---|
| Éditeur SaaS santé européen | Important — argument commercial fort, exigé par les grands acheteurs |
| Hébergeur HDS gestionnaire de DPO mutualisé | Critique — fonde la prestation DPO |
| Plateforme de recherche clinique multi-pays | Important — facilite les transferts internationaux |
| Datacenter pur | Hors champ |
| TPE/PME santé | Pertinent mais non bloquant — HDS + 27001 suffit |
Comment un hébergeur peut se conformer
ISO 27701 est généralement obtenue en 9 à 18 mois après ISO 27001 :
- Désignation d'un DPO (déjà obligatoire RGPD pour la santé).
- Cartographie des traitements PII (registre RGPD article 30).
- Évaluation des risques vie privée (PIA — Privacy Impact Assessment).
- Mise en conformité opérationnelle — gestion des demandes des personnes concernées, transferts, breach notification, etc.
- Audit par un organisme accrédité.
Plus-value vs coût
Coût indicatif :
- Premier audit + certification : 30-60 k€ HT.
- Audits annuels : 10-20 k€ HT.
Plus-value : élevée sur le marché européen multi-pays, modérée sur le marché français pur (où HDS + 27001 + 27018 suffit la plupart du temps).
Sources officielles
- ISO — iso.org/standard/71670.html.
- CNIL — Guide RGPD du sous-traitant.
- EDPB — Guidelines on Certification (article 42 RGPD).
Hébergeurs satisfaisant ce critère
◐ Revendiqué sur source publique (3)
Lecture des trois états. ✓ Vérifié = source publique citée (page officielle, registre ANS / ANSSI / Pappers / RIPE / PeeringDB). ◐ Revendiqué = mention publique partielle, sans verbatim ferme à la date de cet audit. ◔ Démarche en cours = engagement public daté. L'absence de mention n'implique pas l'absence du service — voir notre méthodologie d'équité.