ISO/IEC 27701:2025 n’est plus liée à ISO/IEC 27001 et introduit une nouvelle structure de contrôles distincte pour responsables de traitement, sous-traitants et responsabilités partagées.
La principale différence entre ISO/IEC 27701:2019 et ISO/IEC 27701:2025 est structurelle. La version 2025 transforme ISO/IEC 27701 en un système de management de la protection des données autonome, sans dépendance directe à ISO/IEC 27001.
Cette évolution répond aux attentes réglementaires et opérationnelles observées en 2024–2025, notamment dans le contexte du RGPD, des autorités de contrôle et des audits de conformité. Elle permet à des organisations non certifiées ISO 27001 de déployer un PIMS formel.
Sur le plan des contrôles, la version 2025 abandonne la correspondance directe avec ISO/IEC 27002. Les contrôles sont désormais regroupés en trois catégories : responsables de traitement, sous-traitants et contrôles communs. Des références à ISO/IEC 27002 restent possibles, mais ne sont plus structurantes.
Les clauses 4 à 10 ont également été réécrites pour suivre la logique des systèmes de management ISO récents, avec une clarification des exigences de leadership, de planification et d’amélioration continue.
En pratique, ces changements obligent les organisations à revoir leur cartographie des contrôles, leur gouvernance et leur logique de conformité.
Nous observons que les organisations les plus en difficulté sont celles qui tentent de “plaquer” la version 2025 sur leur structure 2019 sans revoir la logique de fond.
La réussite passe par une relecture complète du standard, pas par un simple exercice de mapping. Les contrôles doivent être justifiés par le rôle PII, ce qui change profondément la manière de documenter la conformité.
“« La version 2025 force enfin les organisations à raisonner PIMS pour lui-même, pas comme une extension de l’ISMS. »”
Expert Trainer
Expert Trainer
Les cookies nécessaires sont toujours actifs. Vous pouvez accepter, refuser les cookies non essentiels, ou personnaliser vos préférences.