Introduction aux principes ISO 27701 — Cadre de référence
ISO 27701 en langage simple —
l'extension vie privée de l'ISO 27001
ISO 27701 est la norme internationale qui ajoute la protection des renseignements personnels à un Système de Management de la Sécurité de l'Information existant. Ce guide explique ce qu'est un PIMS, comment il s'articule avec la Loi 25 et le RGPD, et ce que ça implique concrètement pour une PME québécoise.
Contenu informatif présentant le cadre de référence appliqué dans mes mandats. Pour une certification ISO 27701, consultez un organisme qualifié.
Comprendre ISO 27701 — guide pratique pour les PME
Ce contenu constitue la base de la formation. Utilisez-le comme référence avant ou après la session.
Préalable conseillé : ISO 27701 est une extension d'ISO 27001 — elle ne s'utilise pas seule. Si vous ne connaissez pas encore les principes du SMSI, commencez par la formation Introduction ISO 27001 avant d'aborder cette page.
Qu'est-ce qu'ISO 27701 et pourquoi c'est pertinent pour une PME québécoise
ISO 27001 protège l'information sensible de l'organisation au sens large : finances, opérations, ressources humaines, propriété intellectuelle, secrets d'affaires. ISO 27701 ajoute une couche spécifique pour les renseignements personnels — ceux que vous collectez sur vos employés, vos clients, vos fournisseurs.
Pour une PME québécoise soumise à la Loi 25, c'est le cadre international qui structure exactement ce que la loi exige : registre des activités, EFVP (évaluation des facteurs relatifs à la vie privée), encadrement des sous-traitants, gestion des incidents, droits des personnes. La différence : la loi vous dit quoi atteindre, ISO 27701 vous dit comment l'organiser.
Cas typiques où la norme devient pertinente pour une PME : vous traitez des données d'employés ou de clients (autrement dit, toute PME); un client institutionnel ou un partenaire européen vous demande une démonstration formelle de votre gouvernance des renseignements personnels; vous voulez aligner vos pratiques sur un référentiel reconnu plutôt que de réinventer un cadre maison.
À retenir
ISO 27701 ne remplace pas la Loi 25 — elle outille sa mise en œuvre. Pour une PME, le risque de l'ignorer est de reproduire à la mitaine ce qui existe déjà sous forme normalisée : plus coûteux, moins crédible auprès des clients exigeants ou de la CAI.
Comment ISO 27701 s'articule avec ISO 27001
Concrètement, ISO 27701 demande à votre organisation de définir si elle agit comme responsable de traitement (vous décidez des finalités et des moyens — typiquement votre PME face à ses propres clients), comme sous-traitant (vous traitez les données pour le compte d'un autre — typiquement un fournisseur SaaS, un infogérant), ou comme les deux selon les flux de données.
Cette distinction est centrale parce qu'elle détermine quelles obligations vous appliquez. ISO 27701 prévoit deux séries de mesures distinctes — une pour chaque rôle — qui se trouvent dans les annexes A et B de la norme. Une PME peut être un responsable pour ses propres données clients, et un sous-traitant pour les données d'un partenaire qu'elle héberge ou traite.
L'avantage opérationnel d'ISO 27701 par rapport à une démarche maison : la compatibilité avec d'autres référentiels. Les annexes informatives de la norme (D, E, F) contiennent des tableaux de correspondance entre ISO 27701 et le RGPD européen, ISO 29100, et d'autres référentiels en protection des renseignements personnels. Pour une PME qui exporte ou qui sous-traite à l'international, c'est un raccourci documentaire majeur.
À retenir
ISO 27701 n'ajoute pas un système parallèle — elle étend votre SMSI existant. Si vous structurez votre conformité Loi 25 selon ISO 27701, vous obtenez gratuitement le mappage vers le RGPD et vers les autres lois internationales en vie privée.
Structure de la norme — clauses étendues et annexes spécifiques
Clauses 4 à 10 — le tronc commun étendu : ce sont les mêmes obligations qu'ISO 27001 (comprendre votre contexte, engager la direction, planifier la gestion des risques, fournir le support, opérer, évaluer, améliorer), mais reformulées pour intégrer la dimension renseignements personnels. Si vous avez déjà construit un SMSI conforme ISO 27001, vous ajoutez ici une couche spécifique sans repartir de zéro.
Annexe A — Pour les responsables de traitement (PII Controllers) : 31 mesures de contrôle pour les organisations qui décident des finalités et des moyens du traitement. Couvre les fondations attendues par la Loi 25 : politique de confidentialité, identification du responsable PRP, registre des activités, EFVP, gestion des sous-traitants, gestion des incidents, exercice des droits des personnes.
Annexe B — Pour les sous-traitants (PII Processors) : 18 mesures pour les organisations qui traitent les données pour le compte d'un autre. Couvre les obligations contractuelles vis-à-vis du donneur d'ordre, la confidentialité des données reçues, la sécurité des transferts, les modalités de retour ou de destruction en fin de mandat.
Annexes informatives D, E, F : tableaux de correspondance entre ISO 27701 et le RGPD, ISO 29100 et d'autres référentiels en vie privée. Outil de communication précieux quand un client demande une démonstration de conformité multi-juridictionnelle sans que vous ayez à reproduire la documentation pour chaque régime.
À retenir
L'annexe A (responsables) contient la documentation que la Loi 25 demande, dans une structure normalisée. L'annexe B (sous-traitants) couvre les obligations de l'article 18.3 de la Loi 25 sur l'encadrement des sous-traitants. Les deux peuvent s'appliquer dans la même organisation.
Lien avec la Loi 25 — un raccourci normatif pour les PME
Le tableau ci-dessous montre les correspondances directes entre les obligations Loi 25 et les mesures ISO 27701. C'est le genre de carte que Kaven utilise dans ses contrôles qualité de gouvernance Loi 25 pour évaluer où en est une organisation.
| Obligation Loi 25 | Mesure ISO 27701 correspondante |
|---|---|
| Désigner un responsable PRP (art. 3.1) | A.7.2.1 / B.8.2.1 (responsabilités spécifiques) |
| Tenir un registre des activités (art. 3.2) | A.7.2.8 / B.8.2.6 (inventaire des traitements) |
| Conduire une EFVP (art. 3.3) | A.7.2.5 (privacy impact assessment) |
| Notifier les incidents (art. 3.5) | A.6.13 + clause 6 (gestion incidents) |
| Encadrer les sous-traitants (art. 18.3) | A.7.2.6 / B.8.5.6 (contrats avec processors) |
| Politique sur la protection des renseignements personnels | A.7.2.2 (politique relative aux renseignements personnels) |
Pour une PME québécoise qui sert aussi des clients européens ou interprovinciaux, l'avantage est double : la documentation ISO 27701 répond simultanément à la Loi 25, à la LPRPDE fédérale et au RGPD via les annexes informatives. Pas besoin de produire trois fois le même contenu sous trois formats différents.
À retenir
Suivre ISO 27701 ne dispense d'aucune obligation Loi 25 — la loi reste l'obligation légale, la norme est volontaire. Mais elle structure les preuves de diligence d'une façon que la CAI, les clients institutionnels et les autorités étrangères reconnaissent.
Comment Kaven applique ISO 27701 dans ses contrôles qualité
Contrôle qualité de la gouvernance Loi 25 : vérifie que la documentation interne (politique relative aux renseignements personnels, registre des activités, procédure EFVP, plan de réponse aux incidents) est structurée selon les exigences ISO 27701 Annexe A. Le score reflète la couverture des 31 mesures applicables à la PME.
Contrôle qualité numérique : évalue les pratiques internes liées aux renseignements personnels (Section A — registre opérationnel, gestion des accès, conservation, sous-traitants) en s'appuyant sur ISO 27701 Annexe A, et exécute les tests automatisés de sécurité d'infrastructure (Section B — SPF/DKIM/DMARC, sous-domaines exposés, fuites de courriels via HIBP). Croisé avec ISO 27001:2022 Annexe A et CIS Controls v8 IG1 pour les mesures techniques.
Contrôle qualité du site web Loi 25 : croise ISO 27701 (cadre vie privée) avec OWASP Top 10 (vulnérabilités web), Mozilla Observatory (en-têtes HTTP) et CIS Controls v8 (mesures techniques) pour évaluer la sécurité des renseignements personnels collectés via le site. Vérifie aussi le TLS du site, les fichiers exposés et l'énumération d'utilisateurs WordPress.
Diagnostic stratégique : utilise ISO 27701 comme l'une des cinq références (avec ISO 27001:2022, CIS v8 IG1, Loi 25 et lignes directrices de la Commission d'accès à l'information) pour positionner la maturité globale de l'organisation.
La posture : la certification ISO 27701 n'est ni nécessaire ni recommandée pour la majorité des PME québécoises — c'est un investissement coûteux justifié uniquement par des exigences contractuelles fortes. L'alignement sur la norme, par contre, donne un cadre éprouvé, une documentation cohérente et une crédibilité face aux clients exigeants — sans payer la certification.
À retenir
S'aligner sur ISO 27701 sans viser la certification = la situation typique pour une PME québécoise. Pour la certification formelle, il faut s'adresser à un organisme accrédité — pas à un consultant. Le rôle du consultant est d'aider à atteindre l'alignement et à le maintenir.
Chemin réaliste pour une PME qui veut s'aligner sur ISO 27701
Étape 1 — Consolider la conformité Loi 25 : identifier le responsable PRP, rédiger la politique relative aux renseignements personnels, tenir un registre des activités, structurer l'EFVP, encadrer les sous-traitants par contrat. C'est l'obligation légale immédiate et la base sur laquelle s'appuie ISO 27701.
Étape 2 — Cartographier les écarts ISO 27701 : à partir des annexes A et B de la norme, identifier les mesures que vous avez déjà en place, celles qui sont partielles, et celles qui manquent. C'est le rôle du contrôle qualité de gouvernance Loi 25 — il produit cette cartographie en partant de votre documentation existante.
Étape 3 — Combler les écarts prioritaires : structurer la documentation manquante en s'appuyant sur la formulation ISO 27701 (qui sert ensuite de référence multi-juridictionnelle). Pour les mesures techniques, mobiliser une équipe TI interne ou contractuelle — les annexes A et B ne sont pas un manuel d'implémentation technique.
Étape 4 — Maintenir et améliorer : intégrer la révision périodique du PIMS dans le cycle de gestion habituel — typiquement annuel pour une PME. La maturité ne se construit pas en six mois; elle se maintient sur plusieurs années avec des révisions ciblées.
À retenir
Pour une PME québécoise, le bon réflexe n'est pas « comment se certifier » mais « comment s'aligner ». L'alignement crédible suffit dans la majorité des cas et coûte une fraction de la certification. Si un client exige formellement la certification, c'est à ce moment qu'on regarde le chemin restant — souvent moins long qu'on l'imagine.
Pour aller plus loin : cette page s'inscrit dans le guide Normes internationales (gouvernance) qui présente ISO 27001, ISO 27701, la LPRPDE et les régimes internationaux (RGPD, CCPA et 19 lois US d'État) — vue d'ensemble pour situer votre démarche.
En résumé
ISO 27701 est l'extension vie privée de l'ISO 27001. Publiée en 2019, elle ajoute la protection des renseignements personnels à un Système de Management de la Sécurité de l'Information (SMSI), en distinguant les responsables de traitement et les sous-traitants. Pour une PME québécoise, c'est le cadre international qui structure exactement ce que la Loi 25 exige — registre des activités, EFVP, encadrement des sous-traitants, gestion des incidents — avec en bonus la compatibilité documentaire avec le RGPD.
Réponse rapide
ISO 27701 est-elle obligatoire pour une PME québécoise? Non. La Loi 25 est l'obligation légale; ISO 27701 est volontaire. Mais s'aligner sur la norme produit naturellement la documentation requise par la loi.
Faut-il être certifié ISO 27001 d'abord? Pour la certification formelle ISO 27701, oui. Pour l'alignement (sans certification), non — vous pouvez vous aligner sur ISO 27701 sans démarche ISO 27001 préalable.