ISO/IEC 27706:2025
(Main)Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of privacy information management systems
Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of privacy information management systems
This document specifies requirements and provides guidance for bodies providing audit and certification of a privacy information management system (PIMS) according to ISO/IEC 27701, in addition to the requirements contained within ISO/IEC 17021-1. The requirements contained in this document are demonstrated in terms of competence and reliability by bodies providing PIMS certification. The guidance contained in this document provides additional interpretation of these requirements for bodies providing PIMS certification. NOTE This document can be used as a criteria document for accreditation, peer assessment or other audit processes.
Sécurité de l'information, cybersécurité et protection de la vie privée — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la protection de la vie privée
Le présent document spécifie les exigences et fournit des recommandations pour les organismes procédant à l'audit et à la certification des systèmes de management de la protection de la vie privée (SMVP) conformément à l'ISO/IEC 27701, en complément des exigences contenues dans l'ISO/IEC 17021‑1. Les organismes qui procèdent à la certification de systèmes PIMS démontrent qu'ils respectent les exigences de compétence et de fiabilité présentées dans le présent document. Les recommandations contenues dans le présent document fournissent une interprétation supplémentaire de ces exigences pour les organismes procédant à la certification de systèmes PIMS. NOTE Le présent document peut être utilisé comme référentiel pour l'accréditation, l'évaluation par des pairs ou d'autres processus d'audit.
General Information
Relations
Standards Content (Sample)
International
Standard
ISO/IEC 27706
First edition
Information security, cybersecurity
2025-10
and privacy protection —
Requirements for bodies providing
audit and certification of privacy
information management systems
Sécurité de l'information, cybersécurité et protection de la vie
privée — Exigences pour les organismes procédant à l'audit et à
la certification des systèmes de management de la protection de
la vie privée
Reference number
© ISO/IEC 2025
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2025 – All rights reserved
ii
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles . 3
5 General requirements . 3
5.1 Legal and contractual matters .3
5.2 Management of impartiality .3
5.2.1 General considerations .3
5.2.2 Conflicts of interest.3
5.3 Liability and financing .3
6 Structural requirements . 3
7 Resource requirements . 3
7.1 Competence of personnel .3
7.1.1 General considerations .3
7.1.2 Determination of competence criteria.4
7.1.3 Evaluation processes .4
7.1.4 Other considerations .5
7.2 Personnel involved in the certification activities .5
7.3 Use of individual auditors and external technical experts .5
7.4 Personnel records .5
7.5 Outsourcing .5
8 Information Requirements . 5
8.1 Public information . .5
8.2 Certification documents .5
8.2.1 General .5
8.2.2 PIMS certification documents .5
8.3 Reference to certification and use of marks .5
8.4 Confidentiality .6
8.4.1 General .6
8.4.2 Access to organizational records.6
8.5 Information exchange between a certification body and its clients .6
9 Process requirements . 6
9.1 Pre-certification activities .6
9.1.1 Application .6
9.1.2 Application review . .6
9.1.3 Audit programme .6
9.1.4 Determining audit time .7
9.2 Planning audits .7
9.2.1 Determining audit objectives, scope and criteria .7
9.2.2 Audit team selection and assignments .7
9.2.3 Audit plan .7
9.3 Initial certification .8
9.3.1 General .8
9.3.2 Initial certification audit .8
9.4 Conducting audits .9
9.4.1 General .9
9.4.2 Specific elements of the PIMS audit .9
9.4.3 Audit report .9
9.5 Certification decision . . .10
© ISO/IEC 2025 – All rights reserved
iii
9.6 Maintaining certification .10
9.6.1 General .10
9.6.2 Surveillance activities .10
9.7 Appeals .10
9.8 Complaints.10
9.9 Client records .11
10 Management system requirements for certification bodies .11
10.1 Options.11
10.2 Option A: General management system requirements .11
10.3 Option B: Management system requirements in accordance with ISO 9001 .11
Annex A (normative) Audit time .12
Annex B (informative) Methods for audit time calculations. 17
Annex C (normative) Required knowledge and skills .22
Bibliography .24
© ISO/IEC 2025 – All rights reserved
iv
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/
IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection, in collaboration with the
European Committee for Standardization (CEN) Technical Committee CEN/CLC/JTC 13, Cybersecurity and
data protection, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This first edition of ISO/IEC 27706 cancels and replaces ISO/IEC TS 27006-2:2021, which has been technically
revised.
The main changes are as follows:
— the title has been modified;
— the clause numbering has been aligned to ISO/IEC 17021 rather than ISO/IEC 27006-1, in accordance
with ISO/IEC 27701;
— Annexes A, B and C have been added.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.
© ISO/IEC 2025 – All rights reserved
v
Introduction
This document sets out requirements for bodies providing audit and certification of privacy information
management systems in accordance with ISO/IEC 27701.
This document is also intended to assist accreditation bodies and peer assessors in being able to assess the
minimum requirements for personnel competence in certification bodies and the processes of certification
in these certification bodies in an efficient and harmonized way.
© ISO/IEC 2025 – All rights reserved
vi
International Standard ISO/IEC 27706:2025(en)
Information security, cybersecurity and privacy protection —
Requirements for bodies providing audit and certification of
privacy information management systems
1 Scope
This document specifies requirements and provides guidance for bodies providing audit and certification
of a privacy information management system (PIMS) according to ISO/IEC 27701, in addition to the
requirements contained within ISO/IEC 17021-1.
The requirements contained in this document are demonstrated in terms of competence and reliability
by bodies providing PIMS certification. The guidance contained in this document provides additional
interpretation of these requirements for bodies providing PIMS certification.
NOTE This document can be used as a criteria document for accreditation, peer assessment or other audit
processes.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 17000, Conformity assessment — Vocabulary and general principles
ISO/IEC 17021-1:2015, Conformity assessment — Requirements for bodies providing audit and certification of
management systems — Part 1: Requirements
ISO/IEC 27701:2025, Information security, cybersecurity and privacy protection—Privacy information
management systems—Requirements and guidance
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 17000, ISO/IEC 17021-1,
ISO/IEC 27701, and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
certification document
document indicating that a client's privacy information management system conforms to ISO/IEC 27701 and
any supplementary documentation required under the management system
Note 1 to entry: This definition does not limit the number of documents collectively known as certification documents.
[SOURCE: ISO/IEC 27006-1:2024, 3.1, modified — the references to “information security management
system” have been changed to “privacy information management system” and ISO/IEC 27001 to
ISO/IEC 27701.]
© ISO/IEC 2025 – All rights reserved
3.2
personally identifiable information
PII
information that (a) can be used to establish a link between the information and the natural person to whom
such information relates, or (b) is or might be directly or indirectly linked to a natural person
Note 1 to entry: The “natural person” in the definition is the PII principal (3.4). To determine whether a PII principal is
identifiable, account should be taken of all the means which can reasonably be used by the privacy stakeholder holding
the data, or by any other party, to establish the link between the set of PII and the natural person.
[SOURCE: ISO/IEC 29100:2024, 3.7]
3.3
PII controller
privacy stakeholder (or privacy stakeholders) that determines the purposes and means for processing
personally identifiable information (PII) (3.2) other than natural persons who use data for personal purposes
Note 1 to entry: A PII controller sometimes instructs others [e.g. PII processors (3.5)] to process PII (3.8) on its behalf
while the responsibility for the processing remains with the PII controller.
[SOURCE: ISO/IEC 29100:2024, 3.8]
3.4
PII principal
data subject
natural person to whom the personally identifiable information (PII) (3.2) relates
[SOURCE: ISO/IEC 29100:2024, 3.9]
3.5
PII processor
privacy stakeholder that processes personally identifiable information (PII) (3.2) on behalf of and in
accordance with the instructions of a PII controller (3.3)
[SOURCE: ISO/IEC 29100:2024, 3.10]
3.6
privacy information management system
PIMS
management system which addresses the protection of privacy as potentially affected by the processing of
personally identifiable information (3.8)
[SOURCE: ISO/IEC 27701:2025, 3.23]
3.7
privacy impact assessment
privacy risk assessment
overall process of identifying, analysing, evaluating, consulting, communicating and planning the treatment
of potential privacy impacts with regard to the processing of personally identifiable information (3.2), framed
within an organization’s broader risk management framework
[SOURCE: ISO/IEC 29100:2024, 3.18]
3.8
processing of PII
operation or set of operations performed upon personally identifiable information (PII) (3.7)
Note 1 to entry: Examples of processing operations of PII include, but are not limited to, the collection, storage,
alteration, retrieval, consultation, disclosure, anonymization, pseudonymization, dissemination or otherwise making
available, deletion or destruction of PII.
[SOURCE: ISO/IEC 29100: 2024, 3.21]
© ISO/IEC 2025 – All rights reserved
3.9
statement of applicability
documentation of all necessary controls and justification for the inclusion or exclusion of such controls
[SOURCE: ISO/IEC 27701:2025, 3.25]
4 Principles
The principles from ISO/IEC 17021-1:2015, Clause 4 shall apply.
5 General requirements
5.1 Legal and contractual matters
The requirements of ISO/IEC 17021-1:2015, 5.1 shall apply.
5.2 Management of impartiality
5.2.1 General considerations
The requirements of ISO/IEC 17021-1:2015, 5.2 shall apply.
5.2.2 Conflicts of interest
In addition to the requirements of ISO/IEC 17021-1:2015, 5.2.5, certification bodies shall not provide
consulting for management systems related to privacy, data protection (e.g. in the form of an external data
protection officer or data protection check) or privacy risk management.
Certification bodies may carry out the following activities without them being considered as consultancy or
having a potential conflict of interest:
a) providing only generic and publicly available information when arranging and participating as a
lecturer in training courses related to privacy information management systems, management systems
or auditing;
b) adding value during certification and surveillance audits, e.g. by identifying opportunities for
improvement, as they become evident during the audit.
5.3 Liability and financing
The requirements of ISO/IEC 17021-1:2015, 5.3 shall apply.
6 Structural requirements
The requirements of ISO/IEC 17021-1:2015, Clause 6 shall apply.
7 Resource requirements
7.1 Competence of personnel
7.1.1 General considerations
The requirements of ISO/IEC 17021-1:2015, 7.1.1 shall apply.
© ISO/IEC 2025 – All rights reserved
7.1.2 Determination of competence criteria
7.1.2.1 General
The requirements of ISO/IEC 17021-1:2015, 7.1.2 shall apply.
7.1.2.2 Generic competence requirements
The certification body shall define the competence requirements for each certification function as referenced
in ISO/IEC 17021-1:2015, Table A.1.
The certification body shall also take into account the requirements specified in Annex C, for the PIMS
technical areas.
The certification body shall consider the competence requirements for an audit team in information security
in accordance with the requirements in ISO/IEC 27701.
NOTE ISO/IEC 27006-1:2024, 7.1.3 provides competence requirements for information security.
7.1.3 Evaluation processes
7.1.3.1 General
The requirements of ISO/IEC 17021-1:2015, 7.1.3 shall apply.
7.1.3.2 Evaluating auditors
The certification body shall demonstrate that the auditors have the necessary knowledge and experience
through at least one of the following:
a) recognized PIMS-specific qualifications;
b) participation in PIMS training courses and attainment of relevant personal qualifications;
c) up-to-date professional development records;
d) PIMS audits witnessed by another competent and authorized PIMS auditor.
NOTE The knowledge and skills in privacy can include completion of PIMS audits under the supervision of other
qualified PIMS auditors, as well as specific knowledge and skills in privacy information management systems.
7.1.3.3 Selecting auditors
In addition to 7.1.3.1, the process for selecting auditors shall ensure that each auditor:
a) has practical workplace experience in privacy to act as auditor for PIMS;
b) has received training regarding PIMS audit and audit management, and demonstrated skills of auditing
a PIMS in accordance with to ISO/IEC 27701;
c) maintains relevant and current knowledge and skills in privacy information management and auditing
through continual professional development.
7.1.3.4 Selecting technical experts
The process for selecting technical experts shall ensure that each technical expert:
a) has practical workplace experience in privacy to act as a technical expert;
b) maintains relevant and current knowledge and skills in privacy information management through
continual professional development.
© ISO/IEC 2025 – All rights reserved
7.1.4 Other considerations
The requirements of ISO/IEC 17021-1:2015, 7.1.4 shall apply.
7.2 Personnel involved in the certification activities
The requirements of ISO/IEC 17021-1:2015, 7.2 shall apply.
7.3 Use of individual auditors and external technical experts
The requirements of ISO/IEC 17021-1:2015, 7.3 shall apply.
7.4 Personnel records
The requirements of ISO/IEC 17021-1:2015, 7.4 shall apply.
7.5 Outsourcing
The requirements of ISO/IEC 17021-1:2015, 7.5 shall apply.
8 Information Requirements
8.1 Public information
The requirements of ISO/IEC 17021-1-2015, 8.1 shall apply.
8.2 Certification documents
8.2.1 General
The requirements of ISO/IEC 17021-1-2015, 8.2 shall apply.
8.2.2 PIMS certification documents
Certification documents shall include:
a) the phrase “privacy information management system”;
b) the role of the organization for each activity, product or service in scope (i.e. if the organization acts as
PII controller or PII processor or both)
c) the PII principals whose data are being processed for each activity, product or service in scope (e.g.
employees, customers);
d) the version of the statement of applicability (SoA) for the organization’s PIMS.
NOTE A change to the statement of applicability which does not change the coverage of the controls in the scope
of certification does not require an update of the certification documents.
Where no activity of the organization within the scope of the certification is undertaken at a defined physical
location at all, the certification document(s) shall state that all activities of the organization are conducted
remotely.
8.3 Reference to certification and use of marks
The requirements of ISO/IEC 17021-1-2015, 8.3 shall apply.
© ISO/IEC 2025 – All rights reserved
8.4 Confidentiality
8.4.1 General
The requirements of ISO/IEC 17021-1-2015, 8.4 shall apply.
8.4.2 Access to organizational records
Before the certification audit, the certification body shall ask the client to report if any PIMS related
information (such as PIMS records or information about design and effectiveness of controls) cannot
be made available for review by the audit team because it contains confidential or sensitive information.
The certification body shall determine whether the PIMS can be adequately audited in the absence of such
information. If the certification body concludes that it is not possible to adequately audit the PIMS without
reviewing the identified confidential or sensitive information, it shall advise the client that the certification
audit cannot take place until appropriate access arrangements are granted.
8.5 Information exchange between a certification body and its clients
The requirements of ISO/IEC 17021-1-2015, 8.5 shall apply.
9 Process requirements
9.1 Pre-certification activities
9.1.1 Application
9.1.1.1 General
The requirements of ISO/IEC 17021-1:2015, 9.1.1 shall apply.
9.1.1.2 Application readiness
The certification body shall not accept applications from the client where the client does not document and
implement a PIMS which conforms to the requirements of ISO/IEC 27701.
9.1.2 Application review
The requirements of ISO/IEC 17021-1-2015, 9.1.2 shall apply.
9.1.3 Audit programme
9.1.3.1 General
The requirements of ISO/IEC 17021-1-2015, 9.1.3 shall apply.
As part of the audit programme, remote auditing methods should be considered. Certification bodies can
refer to ISO/IEC TS 17012 for more information.
9.1.3.2 PIMS Controls
The audit programme for PIMS audits shall take the controls determined by the client in accordance with
ISO/IEC 27701:2025, 6.1.3 b) and c) into account.
© ISO/IEC 2025 – All rights reserved
9.1.4 Determining audit time
9.1.4.1 General
The requirements of ISO/IEC 17021-1-2015, 9.1.4 shall apply.
9.1.4.2 Audit time
The certification body shall determine the audit time to be spent on the ISO/IEC 27701 certification audits,
including initial certification, surveillance and re-certification.
The certification body shall use Annex A to determine the audit time.
9.2 Planning audits
9.2.1 Determining audit objectives, scope and criteria
9.2.1.1 General
The requirements of ISO/IEC 17021-1:2015, 9.2.1 shall apply.
9.2.1.2 Determining PIMS audit scope
The certification body shall ensure that the scope of certification to ISO/IEC 27701 is included within the
boundaries of the activities of the client as defined in the scope of the PIMS.
The certification body shall identify the role of the client with regard to PII controllers or PII processors, or both.
The certification body shall verify that the PII processing is within the scope of the client PIMS (see
ISO/IEC 27701:2025, 4.3).
Certification bodies shall ensure that the client’s privacy risk assessment and risk treatment reflect its
activities and extend to the boundaries of its activities as defined in the scope of the PIMS. Certification
bodies shall confirm that this is reflected in the client’s scope of their PIMS and statement of applicability.
9.2.1.3 Audit objectives
The audit objectives shall include ensuring that the client, based on the privacy risk assessment, has
identified the necessary controls.
9.2.2 Audit team selection and assignments
The requirements of ISO/IEC 17021-1:2015, 9.2.2 shall apply.
9.2.3 Audit plan
9.2.3.1 General
The requirements of ISO/IEC 17021-1:2015, 9.2.3 shall apply.
9.2.3.2 General considerations
The audit plan shall take the determined PIMS controls into account.
© ISO/IEC 2025 – All rights reserved
9.3 Initial certification
9.3.1 General
The requirements of ISO/IEC 17021-1:2015, 9.3 shall apply.
9.3.2 Initial certification audit
9.3.2.1 Stage 1
In this stage of the audit, the certification body shall obtain documentation on the design of the PIMS
covering the documentation required in ISO/IEC 27701.
As a minimum, the following information shall be provided by the client during stage 1 of the certification audit:
a) general information concerning the PIMS and the activities it covers;
b) a copy of the required PIMS documentation specified in ISO/IEC 27701 and, where required, other
associated documentation.
The certification body shall obtain sufficient understanding of the design of the PIMS in the context of the
client's organization, privacy risk assessment and treatment (including the controls determined), privacy
policy and objectives and, in particular, of the client's preparedness for the audit. This shall be used for
planning the stage 2 audit.
The results of stage 1 shall be documented in a written report. The certification body shall review the stage
1 audit report before deciding on proceeding with stage 2. The certification body shall confirm the stage 2
audit team members have the necessary competence. This may be done by the auditor leading the team that
conducted the stage 1 audit if deemed competent and appropriate.
NOTE Having a person from the certification body who is not involved in the audit reviewing the report, and who
decides to proceed and confirms the competence of the audit team members for stage 2, offers a degree of mitigation
for the risks involved. However, other risk mitigation measures can already be in place to achieve the same goal.
The certification body shall make the client aware of the further types of information and records that may
be required for detailed examination during stage 2.
9.3.2.2 Stage 2
Based on the findings documented in the stage 1 audit report, the certification body shall develop an audit
plan for the conduct of stage 2. In addition to evaluating the effective implementation of the PIMS, the
objective of stage 2 is to confirm that the client adheres to its own policies, objectives and procedures.
To do this, the audit shall focus on the client's:
a) top management leadership and commitment to the privacy objectives;
b) assessment of privacy related risks; the audit shall also ensure that the assessments produce consistent,
valid and comparable results, if repeated;
c) determination of controls based on the privacy risk assessment and risk treatment processes;
d) privacy performance and the effectiveness of the PIMS, evaluating these against the privacy objectives;
e) correspondence between the determined controls, the statement of applicability, the results of the
privacy risk assessment, the risk treatment process and the privacy policy and objectives;
f) implementation of controls taking into account the external and internal context and related risks, and
the organization's monitoring, measurement and analysis of privacy processes and controls, to determine
whether controls declared as being implemented are actually implemented and effective as a whole;
© ISO/IEC 2025 – All rights reserved
g) programmes, processes, procedures, records, internal audits and reviews of the PIMS effectiveness to
ensure that these are traceable to top management decisions and the privacy policy and objectives.
9.4 Conducting audits
9.4.1 General
The requirements of ISO/IEC 17021-1:2015, 9.4 shall apply.
9.4.2 Specific elements of the PIMS audit
The certification body audit team shall:
a) require the client to demonstrate that the assessment of privacy related risks is relevant and adequate
for the PIMS operation within the PIMS scope;
b) establish whether the client’s procedures for the identification, examination and evaluation of privacy
related risks and the results of their implementation are consistent with the client’s policy, objectives
and targets.
The certification body audit team shall also establish whether the procedures employed in the privacy risk
assessment are sound and properly implemented.
9.4.3 Audit report
9.4.3.1 In addition to ISO/IEC 17021-1:2015, 9.4.8, the audit report shall provide the following information
or a reference to it:
a) an account of the audit of the client's privacy risk analysis;
b) any privacy control sets used by the organization for comparison purposes as required by
ISO/IEC 27701:2025, 6.1.3;
c) description of the role of the client (i.e. PII controller, PII processor or both).
9.4.3.2 The audit report shall be sufficiently detailed to facilitate and support the certification decision. It
shall contain:
a) the significant audit trails followed and audit methodologies utilized;
b) a reference to the version of the statement of applicability and, where applicable, any useful comparison
with the results of previous certification audits of the client.
Completed questionnaires, checklists, observations, logs, or auditor notes can form an integral part of the
audit report. If these methods are used, these documents shall be submitted to the certification body as
evidence to support the certification decision. Information about the samples evaluated during the audit
shall be included in the audit report, or in other certification documentation.
Where remote audit methods have been used, the report shall indicate the extent to which they have been
used in carrying out the audit and their effectiveness in achieving the audit objectives.
Where the activities of the organization are not undertaken at a defined physical location and therefore all
activities of the organization are conducted remotely, the audit report shall state that all activities of the
organization are conducted remotely.
The report shall consider the adequacy of the internal organization and procedures adopted by the client to
give confidence in the PIMS.
The report shall include a summary of the most important observations, positive as well as negative,
regarding the implementation and effectiveness of the PIMS requirements and privacy controls.
© ISO/IEC 2025 – All rights reserved
9.5 Certification decision
The requirements of ISO/IEC 17021-1:2015, 9.5 shall apply.
9.6 Maintaining certification
9.6.1 General
The requirements of ISO/IEC 17021-1:2015, 9.6 shall apply.
9.6.2 Surveillance activities
9.6.2.1 The requirements of ISO/IEC 17021-1:2015, 9.6.2 shall apply.
9.6.2.2 Surveillance audit procedures shall be a subset of those for the certification audit of the client's
PIMS as described in this document. Surveillance audit programmes shall cover at least:
a) the PIMS maintenance elements such as privacy risk assessment and control maintenance, internal
PIMS audit, management review and corrective action;
b) communications from external parties as required by ISO/IEC 27701 and other documents required for
certification.
9.6.2.3 As a minimum, every surveillance audit by the certification body shall review the following:
a) the effectiveness of the PIMS with regard to achieving the objectives of the client's privacy policy;
b) the functioning of procedures for the periodic evaluation and compliance with relevant privacy
legislation and regulations;
c) changes to the controls determined, and resulting changes to the SoA;
d) implementation and effectiveness of controls indicated in the audit programme.
9.6.2.4 The certification body shall adapt its programme of surveillance activities to reflect the issues
related to privacy risks.
Surveillance audits may be combined with audits of other management systems. Audit reports shall clearly
indicate the aspects relevant to each management system.
During surveillance audits, certification bodies shall review the records of appeals and complaints brought
before the certification body. Where any nonconformity or failure to meet the requirements of certification
is revealed, certification bodies shall review how the client has investigated its own PIMS and procedures,
and has taken appropriate corrective action.
A surveillance report shall contain, in particular, information on clearing of nonconformities revealed
previously, the version of the statement of applicability and important changes from the previous audit. As a
minimum, the reports arising from surveillance shall build up to cover in totality the requirements of 9.6.2.2
and 9.6.2.3.
9.7 Appeals
The requirements of ISO/IEC 17021-1:2015, 9.7 shall apply.
9.8 Complaints
The requirements of ISO/IEC 17021-1:2015, 9.8 shall apply.
© ISO/IEC 2025 – All rights reserved
9.9 Client records
The requirements of ISO/IEC 17021-1:2015, 9.9 shall apply.
10 Management system requirements for certification bodies
10.1 Options
The requirements of ISO/IEC 17021-1:2015, 10.1 shall apply.
10.2 Option A: General management system requirements
The requirements of ISO/IEC 17021-1:2015, 10.2 shall apply.
10.3 Option B: Management system requirements in accordance with ISO 9001
The requirements of ISO/IEC 17021-1:2015, 10.3 shall apply.
© ISO/IEC 2025 – All rights reserved
Annex A
(normative)
Audit time
A.1 General
This annex contains further requirements related to ISO/IEC 17021-1:2015, 9.1.4, which are specific to
PIMS audits. This annex provides the minimum requirements and guidance for a certification body on the
development of its own procedures for determining the amount of time required for the certification of a
client’s PIMS scopes of differing sizes and complexity over a broad spectrum of activities.
Certification bodies shall identify the amount of audit time to be spent on initial certification, surveillance
and re-certification for each client and certified PIMS. Using this annex at the audit-planning phase leads
to a consistent approach to the determination of appropriate audit time. Additionally, the audit time may
be adjusted based on what is found during the course of the audit, especially during stage 1 (e.g. different
assessment of the complexity of the PIMS scope, or additional sites added to the scope).
This annex presents:
— concepts that are used for audit time calculation (A.2);
— requirements for the procedures for determining audit time for the different stages of the audit (A.3 to A.5);
— requirements related to multi-site audits (A.6);
— requirements for audit time for scope extensions (A.7).
A basic assumption of this approach is that a calculation scheme for determining audit time should:
a) consider only substantiated attributes that can be determined;
b) be easy enough to be applied efficiently by certification bodies;
c) be complex enough to enable sufficient distinction.
The determination of the audit time is based on the numbers provided in Table A.1. When determining the
audit time, contributing factors shall be considered and modifications made accordingly.
The approach to determine audit time defined by the certification body shall be regularly reviewed to verify
if it is sufficient for the complex
...
Norme
internationale
ISO/IEC 27706
Première édition
Sécurité de l'information,
2025-10
cybersécurité et protection de la
vie privée — Exigences pour les
organismes procédant à l'audit et
à la certification des systèmes de
management de la protection de la
vie privée
Information security, cybersecurity and privacy protection —
Requirements for bodies providing audit and certification of
privacy information management systems
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2025
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2025 – Tous droits réservés
ii
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes . 3
5 Exigences générales . . 3
5.1 Domaine juridique et contractuel .3
5.2 Gestion de l'impartialité .3
5.2.1 Considérations générales .3
5.2.2 Conflits d'intérêts .3
5.3 Responsabilité et situation financière .3
6 Exigences structurelles . 3
7 Exigences relatives aux ressources . 4
7.1 Compétence du personnel .4
7.1.1 Considérations générales .4
7.1.2 Détermination des critères de compétence .4
7.1.3 Processus d'évaluation.4
7.1.4 Autres considérations .5
7.2 Personnel intervenant dans les activités de certification .5
7.3 Intervention d'auditeurs et d'experts techniques externes individuels .5
7.4 Enregistrements relatifs au personnel .5
7.5 Externalisation .5
8 Exigences relatives aux informations . 5
8.1 Informations publiques . . .5
8.2 Documents de certification .5
8.2.1 Généralités .5
8.2.2 Documents de certification des SMVP .5
8.3 Référence à la certification et utilisation des marques .6
8.4 Confidentialité .6
8.4.1 Généralités .6
8.4.2 Accès aux enregistrements de l'organisation .6
8.5 Échange d'informations entre l'organisme de certification et ses clients .6
9 Exigences relatives aux processus . 6
9.1 Activités préalables à la certification .6
9.1.1 Demande de certification .6
9.1.2 Revue de la demande .6
9.1.3 Programme d'audit .7
9.1.4 Détermination du temps d'audit .7
9.2 Planification des audits .7
9.2.1 Détermination des objectifs, du domaine d'application et des critères de l'audit .7
9.2.2 Constitution de l'équipe d'audit et affectation des missions .8
9.2.3 Plan d'audit .8
9.3 Certification initiale .8
9.3.1 Généralités .8
9.3.2 Audit de certification initiale .8
9.4 Réalisation des audits .9
9.4.1 Généralités .9
9.4.2 Éléments spécifiques de l'audit de SMVP .9
9.4.3 Rapport d'audit .9
9.5 Décision de certification .10
© ISO/IEC 2025 – Tous droits réservés
iii
9.6 Maintien de la certification .10
9.6.1 Généralités .10
9.6.2 Activités de surveillance .10
9.7 Appels .11
9.8 Plaintes .11
9.9 Enregistrements relatifs au client .11
10 Exigences relatives au système de management des organismes de certification .11
10.1 Options.11
10.2 Option A: Exigences générales relatives au système de management .11
10.3 Option B: Exigences relatives au système de management conformément à l'ISO 9001 .11
Annexe A (normative) Temps d'audit .12
Annexe B (informative) Méthodes de calcul du temps d'audit .18
Annexe C (normative) Connaissances et savoir-faire exigés .23
Bibliographie .25
© ISO/IEC 2025 – Tous droits réservés
iv
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l’IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.
Les comités techniques de l'ISO et de l’IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l’IEC,
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents. Le présent document a été rédigé conformément
aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.iso.org/directives ou
www.iec.ch/members_experts/refdocs).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée, en collaboration
avec le comité technique CEN/CLC/JTC 13, Cybersécurité et protection des données, du Comité européen de
normalisation (CEN), conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord de
Vienne).
Cette première édition de l'ISO/IEC 27706 annule et remplace l’ISO/IEC TS 27006-2:2021 qui a fait l'objet
d'une révision technique.
Les principales modifications sont les suivantes:
— le titre a été modifié;
— la numérotation des clauses a été alignée sur l'ISO/IEC 17021 plutôt que sur l'ISO/IEC 27006-1,
conformément à l'ISO/IEC 27701;
— les Annexes A, B and C ont été ajoutées.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.
© ISO/IEC 2025 – Tous droits réservés
v
Introduction
Le présent document définit les exigences applicables aux organismes assurant l'audit et la certification des
systèmes de management de la protection de la vie privée conformément à l'ISO/IEC 27701.
Le présent document vise également à aider les organismes d'accréditation et les pairs évaluateurs à être
en mesure d'évaluer les exigences minimales relatives à la compétence du personnel dans les organismes
de certification et les processus de certification dans ces organismes de certification de manière efficace et
harmonisée.
© ISO/IEC 2025 – Tous droits réservés
vi
Norme internationale ISO/IEC 27706:2025(fr)
Sécurité de l'information, cybersécurité et protection de
la vie privée — Exigences pour les organismes procédant à
l'audit et à la certification des systèmes de management de la
protection de la vie privée
1 Domaine d'application
Le présent document spécifie les exigences et fournit des recommandations pour les organismes procédant
à l'audit et à la certification des systèmes de management de la protection de la vie privée (SMVP)
conformément à l'ISO/IEC 27701, en complément des exigences contenues dans l'ISO/IEC 17021-1.
Les organismes qui procèdent à la certification de systèmes PIMS démontrent qu'ils respectent les exigences
de compétence et de fiabilité présentées dans le présent document. Les recommandations contenues dans
le présent document fournissent une interprétation supplémentaire de ces exigences pour les organismes
procédant à la certification de systèmes PIMS.
NOTE Le présent document peut être utilisé comme référentiel pour l'accréditation, l'évaluation par des pairs ou
d'autres processus d'audit.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique. Pour
les références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO/IEC 17000, Évaluation de la conformité — Vocabulaire et principes généraux
ISO/IEC 17021-1:2015, Évaluation de la conformité — Exigences pour les organismes procédant à l'audit et à la
certification des systèmes de management — Partie 1: Exigences
ISO/IEC 27701:2025, Sécurité de l’information, cybersécurité et protection de la vie privée — Systèmes de
management de la protection de la vie privée — Exigences et recommandations
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO/IEC 17000, de l’ISO/IEC 17021-1,
et de l’ISO/IEC 27701, ainsi que les suivants, s'appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
document de certification
document indiquant que le système de management de la protection de la vie privée d'un client est conforme
à l’ISO/IEC 27701 et à toute documentation supplémentaire requise en vertu du système de management
Note 1 à l'article: La présente définition ne limite pas le nombre de documents collectivement appelés «documents de
certification».
© ISO/IEC 2025 – Tous droits réservés
[SOURCE: ISO/IEC 27006-1:2024, 3.1, modifié — les références au «système de management de la sécurité
de l'information» ont été modifiées en «système de management de la protection de la vie privée» et la
référence à l’ISO/IEC 27001 a été remplacée par l’ISO/IEC 27701.]
3.2
données à caractère personnel
DCP
information qui (a) peut être utilisée pour établir un lien entre les informations et la personne physique à
laquelle ces informations se rapportent, ou qui (b) est ou peut être directement ou indirectement associée à
une personne physique
Note 1 à l'article: La «personne physique» référencée dans la définition est la personne concernée (3.4). Pour
déterminer si une personne concernée est identifiable, il convient de tenir compte de tous les moyens pouvant être
raisonnablement utilisés par la partie prenante en matière de protection de la vie privée qui détient les données, ou
par toute autre partie, afin d'établir le lien entre l'ensemble de DCP et la personne physique.
[SOURCE: ISO/IEC 29100:2024, 3.7]
3.3
responsable de traitement de DCP
partie(s) prenante(s) du domaine de la vie privée qui détermine(-nt) la fin et les moyens pour le traitement
d'informations personnelles identifiables (PII) (3.2) autre(s) que les personnes physiques qui utilisent des
données à des fins personnelles
Note 1 à l'article: Un responsable de traitement de DCP demande parfois à des tiers [par exemple, des sous-traitants
de DCP (3.5)] de traiter des DCP (3.8) en son nom, bien qu'un tel traitement relève toujours de la responsabilité du
responsable de traitement de DCP.
[SOURCE: ISO/IEC 29100:2024, 3.8]
3.4
personne concernée
sujet des données
personne physique à qui se rapportent les informations personnelles identifiables (PII) (3.2)
[SOURCE: ISO/IEC 29100:2024, 3.9]
3.5
sous-traitant de DCP
partie prenante du domaine de la vie privée qui traite des informations personnelles identifiables (PII) (3.2)
pour le compte d'un contrôleur de PII (3.3) et conformément à ses instructions
[SOURCE: ISO/IEC 29100:2024, 3.10]
3.6
système de management de la protection de la vie privée
SMVP
système de management qui gère la protection de la vie privée telle que potentiellement affectée par le
traitement des DCP (3.8)
[SOURCE: ISO/IEC 27701:2025, 3.23]
3.7
évaluation de l'impact sur la vie privée
évaluation des risques sur la vie privée
processus global visant à identifier, analyser, évaluer, consulter, communiquer et planifier le traitement des
impacts potentiels sur la vie privée au regard du traitement des données à caractère personnel (3.2), dans le
cadre plus large du système de management des risques d’un organisme
[SOURCE: ISO/IEC 29100:2024, 3.18]
© ISO/IEC 2025 – Tous droits réservés
3.8
traitement de DCP
opération ou ensemble d'opérations exécutées sur des données à caractère personnel (DCP) (3.7)
Note 1 à l'article: Les opérations de traitement des DCP incluent par exemple, sans toutefois s'y limiter, la collecte,
le stockage, l'altération, la récupération, la consultation, la divulgation, l'anonymisation, la pseudonymisation, la
distribution ou toute autre mise à disposition, la suppression ou la destruction de DCP.
[SOURCE: ISO/IEC 29100:2024, 3.21]
3.9
déclaration d'applicabilité
documentation de toutes les mesures de sécurité nécessaires et justification de l'inclusion ou de l'exclusion
de telles mesures
[SOURCE: ISO/IEC 27701:2025, 3.25]
4 Principes
Les principes de l’ISO/IEC 17021-1:2015, Article 4 doivent s’appliquer.
5 Exigences générales
5.1 Domaine juridique et contractuel
Les exigences de l’ISO/IEC 17021-1:2015, 5.1 doivent s’appliquer.
5.2 Gestion de l'impartialité
5.2.1 Considérations générales
Les exigences de l’ISO/IEC 17021-1:2015, 5.2 doivent s’appliquer.
5.2.2 Conflits d'intérêts
Outre les exigences de l'ISO/IEC 17021-1:2015, 5.2.5, les organismes de certification ne doivent pas fournir
de prestations de conseil relatives aux systèmes de management liés à la protection de la vie privée, à la
protection des données (par exemple sous la forme d'un délégué à la protection des données externe ou d'un
contrôle de la protection des données) ou à la gestion des risques d’atteinte à la vie privée.
Les organismes de certification peuvent effectuer les activités suivantes sans que celles-ci soient considérées
comme des activités de conseil ou qu’elles génèrent un potentiel conflit d'intérêts:
a) fournir uniquement des informations génériques et accessibles au public lors de l'organisation et de la
participation en tant que conférencier à des cours de formation relatifs aux systèmes de management de
la protection de la vie privée, aux systèmes de management ou à l'audit;
b) apporter de la plus-value pendant les audits de certification et de surveillance, par exemple en identifiant
des opportunités d'amélioration, lorsqu'elles apparaissent pendant l'audit.
5.3 Responsabilité et situation financière
Les exigences de l’ISO/IEC 17021-1:2015, 5.3 doivent s’appliquer.
6 Exigences structurelles
Les exigences de l’ISO/IEC 17021-1:2015, Article 6 doivent s’appliquer.
© ISO/IEC 2025 – Tous droits réservés
7 Exigences relatives aux ressources
7.1 Compétence du personnel
7.1.1 Considérations générales
Les exigences de l’ISO/IEC 17021-1:2015, 7.1.1 doivent s’appliquer.
7.1.2 Détermination des critères de compétence
7.1.2.1 Généralités
Les exigences de l’ISO/IEC 17021-1:2015, 7.1.2 doivent s’appliquer.
7.1.2.2 Exigences génériques en matière de compétence
L'organisme de certification doit définir les exigences en matière de compétence pour chaque fonction de
certification référencée dans l'ISO/IEC 17021-1:2015, Tableau A.1.
L'organisme de certification doit également tenir compte des exigences spécifiées à l'Annexe C, pour les
domaines techniques du SMVP.
L'organisme de certification doit prendre en compte les exigences de compétence d'une équipe d'audit en
matière de sécurité de l'information conformément aux exigences de l'ISO/IEC 27701.
NOTE L’ISO/IEC 27006-1:2024, 7.1.3 fournit des exigences de compétence en matière de sécurité de l'information.
7.1.3 Processus d'évaluation
7.1.3.1 Généralités
Les exigences de l’ISO/IEC 17021-1:2015, 7.1.3 doivent s’appliquer.
7.1.3.2 Évaluation des auditeurs
L'organisme de certification doit démontrer que les auditeurs possèdent les connaissances et l'expérience
nécessaires par au moins l’un des moyens suivants:
a) des qualifications reconnues spécifiques aux SMVP;
b) la participation à des formations sur les SMVP et l'obtention de qualifications personnelles pertinentes;
c) des enregistrements de perfectionnement professionnel à jour;
d) la réalisation d'audits de SMVP supervisés par un autre auditeur de SMVP compétent et qualifié.
NOTE Les connaissances et compétences dans le domaine de la protection de la vie privée peuvent inclure la
réalisation d'audits de SMVP sous le contrôle d'autres auditeurs de SMVP qualifiés, ainsi que des connaissances et
compétences spécifiques aux systèmes de management de la protection de la vie privée.
7.1.3.3 Sélection des auditeurs
Outre les exigences du paragraphe 7.1.3.1, le processus de sélection des auditeurs doit assurer que chaque
auditeur:
a) possède une expérience professionnelle dans le domaine de la protection de la vie privée pour assurer le
rôle d'auditeur pour les SMVP;
b) a reçu une formation dans le domaine de l'audit de SMVP et de management des audits, et a démontré
ses compétences à réaliser des audits de SMVP conformément à l'ISO/IEC 27701;
© ISO/IEC 2025 – Tous droits réservés
c) maintient à jour et adapte ses connaissances et ses compétences dans le domaine du management de la
protection de la vie privée et de l'audit à travers un perfectionnement professionnel continu.
7.1.3.4 Sélection des experts techniques
Le processus de sélection d'experts techniques doit assurer que chaque expert technique:
a) possède une expérience professionnelle dans le domaine de la protection de la vie privée pour assurer le
rôle d'expert technique;
b) maintient à jour et adapte ses connaissances et ses compétences dans le domaine du management de la
protection de la vie privée à travers un perfectionnement professionnel continu.
7.1.4 Autres considérations
Les exigences de l’ISO/IEC 17021-1:2015, 7.1.4 doivent s’appliquer.
7.2 Personnel intervenant dans les activités de certification
Les exigences de l’ISO/IEC 17021-1:2015, 7.2 doivent s’appliquer.
7.3 Intervention d'auditeurs et d'experts techniques externes individuels
Les exigences de l’ISO/IEC 17021-1:2015, 7.3 doivent s’appliquer.
7.4 Enregistrements relatifs au personnel
Les exigences de l’ISO/IEC 17021-1:2015, 7.4 doivent s’appliquer.
7.5 Externalisation
Les exigences de l’ISO/IEC 17021-1:2015, 7.5 doivent s’appliquer.
8 Exigences relatives aux informations
8.1 Informations publiques
Les exigences de l’ISO/IEC 17021-1-2015, 8.1 doivent s’appliquer.
8.2 Documents de certification
8.2.1 Généralités
Les exigences de l’ISO/IEC 17021-1-2015, 8.2 doivent s’appliquer.
8.2.2 Documents de certification des SMVP
Les documents de certification doivent inclure:
a) l'expression «système de management de la protection de la vie privée»;
b) le rôle de l'organisation pour chaque activité, produit ou service inclus dans le périmètre (en d'autres
termes, indiquer si l'organisation agit en tant que responsable de traitement de DCP, sous-traitant de
DCP ou les deux);
c) les personnes concernées dont les données sont traitées pour chaque activité, produit ou service inclus
dans le périmètre (par exemple, employés, clients);
© ISO/IEC 2025 – Tous droits réservés
d) la version de la déclaration d'applicabilité (DdA) pour le SMVP de l'organisme.
NOTE Une modification de la déclaration d'applicabilité n'entraînant pas de modification de la couverture des
mesures relevant du périmètre de la certification n'impose pas de mise à jour des documents de certification.
Lorsqu'aucune activité de l'organisme entrant dans le domaine d'application de la certification n'est
entreprise dans un lieu physique défini, le(s) document(s) de certification doit(vent) indiquer que toutes les
activités de l'organisme sont menées à distance.
8.3 Référence à la certification et utilisation des marques
Les exigences de l’ISO/IEC 17021-1-2015, 8.3 doivent s’appliquer.
8.4 Confidentialité
8.4.1 Généralités
Les exigences de l’ISO/IEC 17021-1-2015, 8.4 doivent s’appliquer.
8.4.2 Accès aux enregistrements de l'organisation
Avant l'audit de certification, l'organisme de certification doit demander au client de lui signaler si certaines
informations liées au SMVP (telles que des enregistrements de SMVP ou des informations relatives à la
conception et à l'efficacité des mesures) ne peuvent pas être mises à disposition pour examen par l'équipe
d'audit du fait qu'elles contiennent des informations confidentielles ou sensibles. L'organisme de certification
doit déterminer si le SMVP peut être audité de façon adéquate en l'absence de ces informations. Si l'organisme
de certification conclut qu'il n'est pas possible de soumettre le SMVP à un audit adéquat sans examiner les
informations confidentielles ou sensibles identifiées, il doit informer le client que l'audit de certification ne
peut avoir lieu tant que les dispositions d'accès appropriées ne sont pas prises.
8.5 Échange d'informations entre l'organisme de certification et ses clients
Les exigences de l’ISO/IEC 17021-1-2015, 8.5 doivent s’appliquer.
9 Exigences relatives aux processus
9.1 Activités préalables à la certification
9.1.1 Demande de certification
9.1.1.1 Généralités
Les exigences de l’ISO/IEC 17021-1:2015, 9.1.1 doivent s’appliquer.
9.1.1.2 Disponibilité de l'application
L'organisme de certification ne doit pas accepter de demandes du client si celui-ci ne documente pas et ne
met en œuvre un système SMVP conforme aux exigences de l'ISO/IEC 27701.
9.1.2 Revue de la demande
Les exigences de l’ISO/IEC 17021-1-2015, 9.1.2 doivent s’appliquer.
© ISO/IEC 2025 – Tous droits réservés
9.1.3 Programme d'audit
9.1.3.1 Généralités
Les exigences de l’ISO/IEC 17021-1-2015, 9.1.3 doivent s’appliquer.
Dans le cadre du programme d'audit, il convient de prendre en compte les méthodes d'audit à distance. Les
organismes de certification peuvent se référer à l'ISO/IEC TS 17012 pour plus d'informations.
9.1.3.2 Mesures SMVP
Le programme d'audit pour les audits de SMVP doit prendre en compte les mesures déterminées par le client
conformément à l'ISO/IEC 27701:2025, 6.1.3 b) et c).
9.1.4 Détermination du temps d'audit
9.1.4.1 Généralités
Les exigences de l’ISO/IEC 17021-1-2015, 9.1.4 doivent s’appliquer.
9.1.4.2 Temps d'audit
L'organisme de certification doit déterminer le temps d'audit à consacrer aux audits de certification selon
l’ISO/IEC 27701, y compris de certification initiale, de surveillance et de renouvellement de la certification.
L'organisme de certification doit s'aider de l'Annexe A pour déterminer le temps d'audit.
9.2 Planification des audits
9.2.1 Détermination des objectifs, du domaine d'application et des critères de l'audit
9.2.1.1 Généralités
Les exigences de l’ISO/IEC 17021-1:2015, 9.2.1 doivent s’appliquer.
9.2.1.2 Détermination du périmètre d'audit de SMVP
L'organisme de certification doit s'assurer que le périmètre de la certification ISO/IEC 27701 s'inscrit dans
les limites des activités du client, comme défini dans le domaine d'application du SMVP.
L’organisme de certification doit identifier le rôle du client en tant que responsable de traitement de DCP,
sous-traitant de DCP ou les deux.
L'organisme de certification doit vérifier que le traitement des DCP s'inscrit dans le domaine d'application du
SMVP du client (voir l'ISO/IEC 27701:2025, 4.3).
Les organismes de certification doivent s'assurer que l’évaluation des risques sur la vie privée, de même
que le traitement du risque, mis en place par le client reflètent les activités de ce client et s'étendent aux
limites de ses activités, comme défini dans le champ d'application du SMVP. Les organismes de certification
doivent confirmer que ce point est bien pris en compte dans le domaine d'application du SMVP du client et la
déclaration d'applicabilité.
9.2.1.3 Objectifs de l'audit
Les objectifs de l'audit doivent inclure l'assurance que le client, sur la base de l’évaluation des risques sur la
vie privée, a identifié les mesures nécessaires.
© ISO/IEC 2025 – Tous droits réservés
9.2.2 Constitution de l'équipe d'audit et affectation des missions
Les exigences de l’ISO/IEC 17021-1:2015, 9.2.2 doivent s’appliquer.
9.2.3 Plan d'audit
9.2.3.1 Généralités
Les exigences de l'ISO/IEC 17021-1:2015, 9.2.3, doivent s'appliquer.
9.2.3.2 Considérations générales
Le plan d'audit doit prendre en compte les mesures SMVP identifiées.
9.3 Certification initiale
9.3.1 Généralités
Les exigences de l’ISO/IEC 17021-1:2015, 9.3 doivent s’appliquer.
9.3.2 Audit de certification initiale
9.3.2.1 Étape 1
À cette étape de l'audit, l'organisme de certification doit obtenir la documentation relative à la conception du
SMVP couvrant la documentation requise dans l'ISO/IEC 27701.
Le client doit fournir au moins les informations suivantes lors de l'étape 1 de l'audit de certification:
a) les informations générales concernant le SMVP et les activités qu'il couvre;
b) une copie de la documentation du SMVP requise spécifiée dans l'ISO/IEC 27701 et, lorsque cela est exigé,
d'autres documents associés.
L'organisme de certification doit atteindre un niveau suffisant de compréhension de la conception du SMVP
dans le contexte de l'organisation du client, de l'évaluation des risques sur la vie privée et de leur traitement
(y compris les mesures établies), de la politique et des objectifs en matière de protection de la vie privée et,
en particulier, de l'état de préparation du client pour l'audit. Cela doit être utilisé pour la planification de
l'étape 2 de l'audit.
Les résultats de l'étape 1 doivent être documentés dans un rapport écrit. L'organisme de certification
doit passer en revue le rapport d'audit de l'étape 1 avant de décider de passer à l'étape 2. L'organisme
de certification doit confirmer si les membres de l'équipe d'audit de l'étape 2 possèdent les compétences
nécessaires. Cela peut être effectué par l'auditeur responsable de l'équipe qui a effectué l'audit d'étape 1 s'il
est jugé compétent et si cela est approprié.
NOTE Le fait qu'une personne de l'organisme de certification n'ayant pas participé à l'audit examine le rapport,
décide de poursuivre et confirme la compétence des membres de l'équipe d'audit pour l'étape 2, offre un certain degré
d'atténuation des risques encourus. Cependant, d'autres mesures d'atténuation des risques peuvent déjà être en place
et atteindre le même objectif.
L'organisme de certification doit informer le client des autres types d'informations et enregistrements qui
peuvent être requis pour un examen détaillé lors de l'étape 2.
9.3.2.2 Étape 2
Sur la base des constats décrits dans le rapport d'audit de l'étape 1, l'organisme de certification doit élaborer
un plan d'audit pour la réalisation de l'étape 2. Outre l'évaluation de la mise en œuvre efficace du SMVP,
l'étape 2 a pour objectif de confirmer que le client respecte ses propres politiques, objectifs et procédures.
© ISO/IEC 2025 – Tous droits réservés
Pour ce faire, l'audit doit se focaliser sur les aspects suivants du client:
a) leadership de la direction et engagement en faveur des objectifs de protection de la vie privée;
b) évaluation des risques liés à la protection de la vie privée; l'audit doit également permettre de s'assurer
que les études produisent des résultats cohérents, valides et comparables si elles sont répétées;
c) détermination des mesures en fonction de l’évaluation des risques sur la vie privée et des processus de
traitement du risque;
d) performances en matière de protection de la vie privée et efficacité du SMVP, évaluées par rapport aux
objectifs de protection de la vie privée;
e) correspondance entre les mesures établies, la déclaration d'applicabilité, les résultats de l'évaluation des
risques sur la vie privée, le processus de traitement du risque et la politique et les objectifs en matière
de protection de la vie privée;
f) mise en œuvre des mesures en tenant compte du contexte externe et interne et des risques associés,
de la surveillance de l'organisation, du mesurage et de l'analyse des processus et des mesures de
protection de la vie privée, afin de déterminer si les mesures déclarées comme étant mises en œuvre
sont réellement appliquées et efficaces dans leur ensemble;
g) programmes, processus, procédures, enregistrements, audits internes et revues de l'efficacité du SMVP
afin de s'assurer que ces derniers sont conformes aux décisions de la direction et à la politique et aux
objectifs de protection de la vie privée.
9.4 Réalisation des audits
9.4.1 Généralités
Les exigences de l’ISO/IEC 17021-1:2015, 9.4 doivent s’appliquer.
9.4.2 Éléments spécifiques de l'audit de SMVP
L'équipe d'audit de l'organisme de certification doit:
a) exiger du client qu'il démontre que l'évaluation des risques sur la vie privée est pertinente et adéquate
pour le fonctionnement du SMVP relevant du domaine d'application du SMVP;
b) établir si les procédures du client pour l'identification, l'examen et l'évaluation des risques liés à la
protection de la vie privée et les résultats de leur mise en œuvre sont conformes à la politique, aux
objectifs et aux cibles du client.
L'équipe d'audit de l'organisme de certification doit également établir si les procédures utilisées dans
l'évaluation des risques sur la vie privée sont solides et correctement mises en œuvre.
9.4.3 Rapport d'audit
9.4.3.1 Outre les informations indiquées au paragraphe 9.4.8 de l'ISO/IEC 17021-12015, le rapport d'audit
doit fournir les informations suivantes ou une référence à ces dernières:
a) un compte-rendu de l'audit de l'analyse des risques liés à la protection de la vie privée du client;
b) tout ensemble de mesures de protection de la vie privée utilisées par l'organisme à des fins de
comparaison, conformément à l'ISO/IEC 27701:2025, 6.1.3;
c) la description du rôle du client (c'est-à-dire responsable de traitement de DCP, sous-traitant de DCP ou
les deux).
© ISO/IEC 2025 – Tous droits réservés
9.4.3.2 Le rapport d'audit doit être suffisamment détaillé pour faciliter et soutenir la décision de
certification. Il doit contenir:
a) des pistes d'audit significatives suivies et des méthodologies d'audit utilisées;
b) une référence à la version de la déclaration d'applicabilité et, le cas échéant, toute comparaison utile
avec les résultats des audits de certification précédents du client.
Les questionnaires complétés, listes de contrôle, observations, journaux ou notes d'auditeur peuvent faire
partie intégrante du rapport d'audit. Si ces méthodes sont utilisées, ces documents doivent être soumis à
l'organisme de certification comme preuve à l'appui de la décision de certification. Des informations sur
les échantillons évalués pendant l'audit doivent être incluses dans le rapport d'audit ou dans d'autres
documentations de certification.
En cas d'utilisation de méthodes d'audit à distance, le rapport doit indiquer dans quelle mesure elles ont été
utilisées pour réaliser l'audit et leur efficacité pour atteindre les objectifs de l'audit.
Lorsque les activités de l'organisme ne sont pas menées dans un lieu physique défini et que, par conséquent,
toutes les activités de l'organisme sont menées à distance, le rapport d'audit doit indiquer que toutes les
activités de l'organisme sont menées à distance.
Le rapport doit examiner l'adéquation de l'organisation interne et des procédures adoptées par le client pour
donner confiance dans le SMVP.
Le rapport doit couvrir une synthèse des observations les plus importantes, positives comme négatives,
concernant la mise en œuvre et l'efficacité des exigences du SMVP et des mesures de protection de la vie privée.
9.5 Décision de certification
Les exigences de l’ISO/IEC 17021-1:2015, 9.5 doivent s’appliquer.
9.6 Maintien de la certification
9.6.1 Généralités
Les exigences de l’ISO/IEC 17021-1:2015, 9.6 doivent s’appliquer.
9.6.2 Activités de surveillance
9.6.2.1 Les exigences de l’ISO/IEC 17021-1:2015, 9.6.2 doivent s’appliquer.
9.6.2.2 Les procédures de l'audit de surveillance doivent être un sous-ensemble des procédures de l'audit
de certification du SMVP du client tel que décrit dans le présent document. Les programmes d'audit de
surveillance doivent couvrir au moins:
a) les éléments de maintenance du SMVP, tels que l'évaluation des risques sur la vie privée et la maintenance
des mesures, l'audit SMVP interne, la revue de direction et les actions correctives;
b) les communications provenant des parties exter
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...