Données personnelles

ISO 27001 vs RGPD : recouvrement, lacunes et conformité combinée

ISO 27001 et RGPD se recouvrent sur la sécurité mais divergent sur les droits, la base légale et les transferts. Cartographie des contrôles et lacunes ISO 27001.

Aussi disponible en :English
TD
Dr. Thiébaut Devergranne
10 mai 20269 min read

Réponse rapide. L’ISO 27001 est un standard de système de management de la sécurité de l’information. Le RGPD est une réglementation de protection des données personnelles. Ils se recouvrent sur les contrôles de sécurité (l’article 32 RGPD correspond à l’Annexe A de l’ISO 27001) mais divergent sur les droits des personnes, la base légale, la notification de violation, les transferts internationaux et les obligations DPO. L’ISO 27001 seule ne satisfait pas au RGPD. Le standard complémentaire pour le RGPD est l’ISO 27701 (système de management des informations de protection de la vie privée), qui étend l’ISO 27001 pour couvrir la confidentialité.

La certification ISO 27001 est de plus en plus exigée par les clients entreprise — et de plus en plus citée par les fournisseurs comme preuve de conformité RGPD. Les deux sont liés mais pas équivalents. Une société certifiée ISO 27001 peut échouer à un audit RGPD ; une société conforme RGPD peut ne pas satisfaire aux exigences ISO 27001.

Ce guide cartographie le recouvrement, identifie les lacunes, et explique comment combiner les travaux ISO 27001, ISO 27701 et RGPD en un programme de conformité intégré. Pour le contexte général, voir data privacy compliance guide. Pour la méthodologie d’audit, méthodologie audit RGPD.

Points clés

  • ISO 27001 couvre la sécurité de l’information ; le RGPD couvre la protection des données personnelles. Périmètres différents.
  • Le recouvrement est d’environ 60% — principalement sur l’article 32 RGPD (sécurité du traitement).
  • Obligations RGPD spécifiques NON couvertes par l’ISO 27001 : base légale, droits des personnes, AIPD, notification de violation à la CNIL, transferts internationaux, désignation DPO, registre des traitements, transparence.
  • L’ISO 27701 étend l’ISO 27001 pour couvrir la confidentialité et est le complément naturel pour le RGPD.
  • La certification ISO 27001 n’est pas une défense contre l’application du RGPD — c’est un facteur parmi d’autres.

1. Ce que l’ISO 27001 couvre réellement

L’ISO 27001 est le standard international pour un Système de Management de la Sécurité de l’Information (SMSI). La certification requiert :

  • Un périmètre SMSI défini
  • Une méthodologie d’évaluation des risques documentée
  • Une déclaration d’applicabilité listant les contrôles de l’Annexe A applicables
  • Mise en œuvre des contrôles sélectionnés (l’Annexe A 2022 a 93 contrôles en 4 catégories : organisationnels, personnes, physiques, technologiques)
  • Programme d’audit interne
  • Revue de direction
  • Amélioration continue

L’Annexe A 2022 couvre :

  • Contrôles organisationnels (37) : politiques, rôles, séparation des tâches, relations fournisseurs
  • Contrôles personnes (8) : sélection, conditions d’emploi, sensibilisation, processus disciplinaire
  • Contrôles physiques (14) : périmètres, zones sécurisées, protection équipement
  • Contrôles technologiques (34) : contrôle d’accès, cryptographie, développement sécurisé, sécurité réseau, surveillance

La certification est délivrée par un organisme accrédité (BSI, DNV, TÜV, Bureau Veritas, etc.) avec audits de surveillance annuels et recertification tous les 3 ans.

2. Ce que le RGPD couvre (que l’ISO 27001 ne couvre pas)

Le RGPD a 99 articles et adresse :

Sujet Article(s) RGPD Couverture ISO 27001
Base légale du traitement 6, 9 Aucune
Transparence / avis de confidentialité 13, 14 Aucune
Droits des personnes concernées 12-23 Aucune
Droit d’accès 15 Aucune
Droit à l’effacement 17 Partielle (suppression de données = A.8.10)
Droit à la portabilité 20 Aucune
Droit d’opposition 21 Aucune
AIPD 35 Aucune
Consultation préalable 36 Aucune
Désignation et missions du DPO 37-39 Aucune
Registre des traitements 30 Aucune
Notification de violation (72h) 33 Partielle (gestion incidents = A.5.24-26)
Communication aux personnes concernées 34 Aucune
Transferts internationaux 44-50 Aucune
Accord de co-responsabilité 26 Aucune
Autorisation sous-traitant ultérieur 28 Aucune
Sécurité du traitement 32 Fort recouvrement avec Annexe A
Pseudonymisation, chiffrement 32(1)(a) Annexe A 8.24, 8.25
Confidentialité, intégrité, disponibilité 32(1)(b) Annexe A.5.1
Restauration après incident 32(1)© Annexe A.8.13, 8.14
Tests et évaluation de l’efficacité 32(1)(d) Annexe A.8.29

L’ISO 27001 couvre fortement la sécurité du traitement (article 32 RGPD) et la gestion des incidents (articles 33-34 RGPD, partiellement). Elle n’adresse pas le reste du RGPD.

3. ISO 27701 — l’extension confidentialité

L’ISO 27701 est une extension de l’ISO 27001 spécifique aux Systèmes de Management des Informations de Protection de la Vie Privée (PIMS). Publiée en 2019, elle ajoute :

  • Contrôles pour les responsables (Annexe A) : avis de confidentialité, consentement, droits des personnes, etc.
  • Contrôles pour les sous-traitants (Annexe B) : conditions contractuelles, gestion des sous-traitants ultérieurs, etc.
  • Cartographie avec les articles RGPD

Pour une organisation certifiée ISO 27001, ajouter l’ISO 27701 couvre la plupart des exigences opérationnelles spécifiques au RGPD. Elle ne remplace cependant pas le travail d’interprétation juridique (sélection de la base légale, jugements AIPD, choix du mécanisme de transfert).

ISO 27701 + ISO 27001 = environ 80-90% de la conformité opérationnelle RGPD. Les 10-20% restants sont du travail d’interprétation juridique qui requiert un DPO ou un conseil externe.

4. Là où l’ISO 27001 seule est insuffisante

Un fournisseur qui dit « nous sommes certifiés ISO 27001, donc nous sommes conformes RGPD » se trompe. La certification couvre la sécurité, pas la confidentialité. Lacunes spécifiques :

Base légale

L’ISO 27001 ne requiert pas que le responsable identifie et documente une base légale au titre de l’article 6 RGPD. Un fournisseur traitant des données sans base légale valide peut être certifié ISO 27001.

Droits des personnes

L’ISO 27001 ne requiert pas de processus pour traiter les demandes d’accès, demandes d’effacement, etc. Un fournisseur avec une implémentation parfaite de l’Annexe A peut quand même violer le RGPD en ne respectant pas une demande de droits dans le délai de 30 jours.

Transferts internationaux

L’ISO 27001 n’aborde pas le cadre RGPD-spécifique des décisions d’adéquation, CCT, BCR, DPF. Un fournisseur transférant des données UE vers un pays non adéquat sans garantie article 46 viole le RGPD indépendamment du statut ISO 27001. Voir notre guide CCT (SCCs).

Notification de violation à l’autorité

L’ISO 27001 couvre la gestion des incidents. L’article 33 RGPD requiert la notification à l’autorité de contrôle dans les 72h. L’ISO 27001 ne spécifie pas ce délai ni l’autorité.

AIPD

L’ISO 27001 ne requiert pas d’Analyse d’Impact relative à la Protection des Données. L’article 35 RGPD le requiert pour les traitements à risque élevé. Voir notre guide article 35 RGPD.

5. Combiner ISO 27001 + RGPD + ISO 27701

Pour une organisation poursuivant les trois :

Périmètre SMSI unique

Définir le périmètre du SMSI pour couvrir tous les systèmes traitant des données personnelles. Cela fait que les contrôles ISO 27001 s’appliquent automatiquement aux obligations de sécurité RGPD.

Évaluation de risque intégrée

L’évaluation des risques ISO 27001 peut inclure les risques de confidentialité (impact sur les personnes concernées), lui faisant servir de double objectif pour les AIPD RGPD. La doctrine CEPD soutient cette intégration.

Déclaration d’applicabilité combinée

La Déclaration d’Applicabilité pour ISO 27001 + ISO 27701 couvre l’Annexe A (sécurité), les contrôles de confidentialité Annexe A (responsables), et les contrôles de confidentialité Annexe B (sous-traitants). Un seul document, couverture exhaustive.

Cycle d’audit unifié

L’audit de certification externe peut couvrir ISO 27001 + ISO 27701 simultanément. Les audits de surveillance annuels suivent les deux standards.

Coordination DPO + RSSI

Le DPO (lentille juridique/confidentialité) et le RSSI (lentille sécurité/risque) collaborent sur le programme intégré. Dans les petites organisations, une seule personne peut occuper les deux rôles.

6. Cas pratique : éditeur SaaS

Un éditeur SaaS vendant à des clients UE a besoin de :

  • ISO 27001 pour les exigences clients entreprise (référence sécurité)
  • ISO 27701 pour démonstration de conformité confidentialité
  • Activités RGPD-spécifiques non couvertes par l’un ou l’autre :
    • Politique de confidentialité publique
    • Documentation de la base légale par traitement
    • Modèle DPA proposé aux clients (contrat responsable-sous-traitant)
    • Processus de traitement des demandes de droits (spécifique aux droits RGPD)
    • AIPD pour les fonctionnalités à risque élevé
    • Processus de notification de violation aligné sur 72h
    • Documentation des transferts internationaux (CCT + TIA)

Coût total du programme : certification ISO 27001 + 27701 ~30K-80K€ initial + 15K-30K€/an. Couche RGPD-spécifique : ~20K-50K€ initial + 10K-20K€/an.

7. ISO 27001 dans la due diligence fournisseur

Lors de l’audit d’un fournisseur pour la conformité RGPD (audit article 28), la certification ISO 27001 est un signal fort mais pas une réponse complète. L’audit doit toujours vérifier :

  • DPA signé conforme à l’article 28(3)
  • Liste de sous-traitants ultérieurs disponible et processus de mise à jour opérant
  • Mécanisme de transfert transfrontalier pour toute destination non adéquate
  • Processus d’assistance aux demandes de droits (comment le fournisseur vous aide à répondre aux demandes utilisateur)
  • SLA de notification de violation (typiquement 24-48h au responsable)
  • Droit d’audit exercé au minimum avec un rapport SOC 2 Type II ou ISO 27701

Pour le cadre complet d’audit fournisseur, voir notre checklist Article 28.

8. Outillage

Legiscope maintient la couche RGPD sur les programmes ISO 27001 : cartographie les contrôles Annexe A avec l’article 32 RGPD, identifie les lacunes RGPD-spécifiques non couvertes par l’ISO 27001, génère des AIPD alignées avec les deux standards, et audite les DPA fournisseurs pour vérifier les clauses RGPD-spécifiques que l’ISO 27001 n’adresse pas.

Pour les approfondissements connexes : méthodologie audit RGPD, Article 28 RGPD, SCCs guide, data privacy compliance guide.

Conclusion

L’ISO 27001 et le RGPD sont complémentaires, pas équivalents. Un fournisseur ou département citant l’ISO 27001 comme preuve de conformité RGPD a mal compris les deux standards. La voie correcte : maintenir l’ISO 27001 pour la sécurité, ajouter l’ISO 27701 pour les opérations confidentialité, et superposer le travail juridique RGPD-spécifique qu’aucune certification ne peut remplacer.

FAQ

La certification ISO 27001 signifie-t-elle que mon fournisseur est conforme RGPD ?

Non. L’ISO 27001 couvre la sécurité de l’information mais pas les obligations RGPD spécifiques : base légale, droits des personnes, AIPD, notification de violation à l’autorité, transferts internationaux, désignation DPO, registre des traitements. Un fournisseur certifié peut quand même violer le RGPD.

Dois-je obtenir l’ISO 27001 ou me concentrer sur le RGPD ?

Les deux, mais dans le bon ordre. Si vous êtes une PME avec des ressources limitées, la conformité RGPD est légalement obligatoire ; l’ISO 27001 est commerciale. Commencer par le RGPD (exposition juridique obligatoire), puis ajouter l’ISO 27001 si les clients l’exigent. Les grandes organisations poursuivent typiquement les deux en parallèle.

Quelle est la différence entre ISO 27001 et ISO 27701 ?

L’ISO 27001 couvre la gestion de la sécurité de l’information. L’ISO 27701 étend l’ISO 27001 avec des contrôles spécifiques à la confidentialité alignés sur le RGPD (et autres lois de confidentialité). L’ISO 27701 est le complément naturel à l’ISO 27001 pour les organisations traitant des données personnelles.

Les contrôles ISO 27001 peuvent-ils satisfaire à l’article 32 RGPD ?

Oui, en grande partie. Les contrôles Annexe A de l’ISO 27001 (en particulier les contrôles technologiques 8.x) correspondent bien aux exigences de l’article 32 RGPD (chiffrement, intégrité, disponibilité, restauration, tests). C’est le recouvrement principal entre les deux standards.

Combien de temps prend la certification ISO 27001 ?

Pour une société de 50-200 salariés : 6-12 mois du lancement du projet à la certification initiale. Comprend l’évaluation des risques, la mise en œuvre des contrôles, l’audit interne, et les audits externes Étape 1 + Étape 2. Audits de surveillance annuels et recertification tous les 3 ans.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →