Un client m'a récemment demandé si sa certification ISO 27001 suffisait pour répondre aux exigences de la Loi 25. 

Ma réponse courte : non. ISO 27001 protège l'information. 

ISO/IEC 27701 protège les renseignements personnels

Si votre organisation collecte, traite ou conserve des renseignements personnels, que ce soit ceux de vos clients, de vos employés ou des clients de vos clients, cette norme vous concerne directement.

Un peu d'historique

La norme a d'abord circulé sous le nom ISO/IEC 27552 à partir de 2016, avant d'être intégrée formellement à la famille ISO et publiée le 6 août 2019 sous son numéro actuel.

Ce qui a changé en 2025

La mise à jour 2025 remplace la version de 2019 et introduit des changements structurels et conceptuels qui rendent le cadre PIMS plus clair, plus flexible et plus facile à intégrer dans différents types d'organisations.

Le changement le plus significatif : ISO/IEC 27701:2025 est maintenant une norme autonome.

Vous n'avez plus besoin d'être certifié ISO 27001 pour obtenir la certification ISO 27701:2025. La norme peut désormais être implantée et certifiée de façon indépendante.

C'est quoi exactement un renseignement personnel?

Un renseignement personnel (PII — Personally Identifiable Information) est toute information permettant d'identifier une personne spécifique, directement ou indirectement.

Ce qui rend la gestion de ces données complexe, c'est qu'une organisation peut avoir deux rôles distincts :

  • Responsable du traitement (PII Controller) : vous décidez pourquoi et comment les données sont collectées et utilisées
  • Sous-traitant (PII Processor) : vous traitez des données pour le compte d'une autre organisation

Ce que ça signifie pour votre conformité à la Loi 25

ISO/IEC 27701 n'est pas un substitut à la Loi 25. C'est un cadre qui vous aide à démontrer que vous avez pris des mesures structurées et auditables pour protéger les renseignements personnels.

En pratique, une certification ISO/IEC 27701 vous donne :

  • Une preuve structurée et vérifiable par un tiers que vous gérez les renseignements personnels sérieusement
  • Un cadre pour répondre aux droits des personnes concernées : accès, rectification, suppression
  • Une base solide pour vos évaluations des facteurs relatifs à la vie privée (EFVP), exigées par la Loi 25 pour les projets à risque élevé

Bref, ISO/IEC 27701 répond à une question que vos clients, vos partenaires et la Commission d'accès à l'information vont inévitablement vous poser : comment démontrez-vous que vous protégez les renseignements personnels de façon systématique et vérifiable?