ISO/IEC 27701:2019 — Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines
Articles structurants documentés dans la cartographie ACF.
Adaptations spécifiques de chaque clause de l'ISMS pour inclure les PII et les obligations privacy. Notamment 5.2 (périmètre PIMS), 5.3 (politiques PIMS), 5.4.1.2 (PII risk assessment).
Guidance d'extension des 14 catégories de contrôles 27002 aux PII : politiques, organisation, RH, gestion des actifs, contrôle d'accès, cryptographie, sécurité physique et environnementale, opérations, communications, acquisition / développement / maintenance, relations fournisseurs, incidents, continuité, conformité.
Spécifique aux organisations agissant comme PII controllers : 31 contrôles supplémentaires en plus de la guidance 27002. Couvre conditions de collecte / traitement, obligations envers les PII principals, privacy by design et by default, sharing / transfer / disclosure.
Spécifique aux organisations agissant comme PII processors : 18 contrôles supplémentaires. Couvre obligations envers le controller, contrats, sous-traitance, gestion des PII, transferts.
Liste de référence des objectifs de contrôle pour PII controllers : 31 contrôles structurés en 7 sections (conditions for collection / processing, obligations to PII principals, privacy by design and by default, PII sharing / transfer / disclosure).
Liste de référence des objectifs de contrôle pour PII processors : 18 contrôles structurés en 4 sections (conditions for collection / processing, obligations to PII principals, privacy by design and by default, PII sharing / transfer / disclosure).
Table de correspondance non normative entre les clauses 27701 et les articles GDPR. Utile pour démontrer la couverture privacy d'un PIMS certifié au regard du RGPD.
Relation avec le framework privacy ISO/IEC 29100 et ses 11 principes privacy : consent and choice, purpose legitimacy, collection limitation, data minimisation, use / retention / disclosure limitation, accuracy and quality, openness, individual participation, accountability, information security, privacy compliance.
Obligations actionnables catégorisées : documentation, process, technique, gouvernance, notification.
Étendre le périmètre ISMS au traitement de PII (5.2)
Adapter la politique de sécurité pour inclure privacy (5.3)
Inclure la considération des PII dans l'évaluation des risques (5.4.1.2)
Produire une Statement of Applicability étendue (contrôles Annexe A et/ou B selon rôle)
En tant que controller : gérer base légale, consentement, droits des PII principals (7.2, 7.3)
Si : role = PII controller
Privacy by design et by default (7.4)
Si : role = PII controller
En tant que processor : agir uniquement selon les instructions documentées du controller (8.2.2)
Si : role = PII processor
En tant que processor : notifier le controller en cas de breach PII (8.4)
Si : role = PII processor
Encadrer les transferts internationaux de PII et la sous-traitance ultérieure
Maintenir un inventaire des PII traitées (7.2.8)
Standard ISO volontaire - pas de sanctions légales
Conséquences en cas de non-conformité identifiée lors d'un audit de certification
ISO/IEC 27701 est le maillon entre l'ISMS 27001 et les exigences privacy réglementaires (RGPD, LGPD, APPI...). Articulation pratique pour ACF : (1) le mapping annexe D 27701 ↔ RGPD permet à un DPO de démontrer la couverture privacy de l'organisation auprès d'auditeurs et de clients ; (2) une organisation déployant des systèmes IA traitant des PII peut combiner 27001 + 27701 + 42001 dans un seul management system intégré (Annexe SL partagée) ; (3) la documentation 27701 (inventaire PII, base légale, consentement, droits) constitue un socle réutilisable pour l'art. 10 AI Act (data governance) et pour la FRIA / AIIA ; (4) une certification 27701 ne dispense pas du RGPD mais réduit significativement les risques d'audit CNIL et facilite la démonstration d'accountability (art. 5(2) RGPD).