ISO/IEC 27701:2025
(Main)Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance
Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance
This document specifies requirements for establishing, implementing, maintaining and continually improving a privacy information management system (PIMS). Guidance is also provided to assist in the implementation of the requirements in this document. This document is intended for personally identifiable information (PII) controllers and PII processors holding responsibility and accountability for PII processing. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations.
Sécurité de l'information, cybersécurité et protection de la vie privée — Systèmes de management de la protection de la vie privée — Exigences et recommandations
Le présent document spécifie les exigences relatives à la création, la mise en œuvre, le maintien et l'amélioration continue d'un système de management de la protection de la vie privée (PIMS). Des recommandations sont également fournies pour faciliter la mise en œuvre des exigences du présent document. Le présent document s'adresse aux responsables de traitement de données à caractère personnel (DCP) et aux sous-traitants de DCP chargés et responsables du traitement des DCP. Le présent document s'applique aux organismes de tous types et de toutes tailles, y compris les entreprises publiques et privées, les entités gouvernementales et les organismes à but non lucratif.
General Information
Relations
Standards Content (Sample)
International
Standard
ISO/IEC 27701
Second edition
Information security, cybersecurity
2025-10
and privacy protection — Privacy
information management systems
— Requirements and guidance
Sécurité de l'information, cybersécurité et protection de la vie
privée — Systèmes de management de la protection de la vie
privée — Exigences et recommandations
Reference number
© ISO/IEC 2025
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2025 – All rights reserved
ii
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviations . 1
4 Context of the organization . 4
4.1 Understanding the organization and its context .4
4.2 Understanding the needs and expectations of interested parties .5
4.3 Determining the scope of the privacy information management system .5
4.4 Privacy information management system .6
5 Leadership . 6
5.1 Leadership and commitment .6
5.2 Privacy policy .6
5.3 Roles, responsibilities and authorities .7
6 Planning . 7
6.1 Actions to address risks and opportunities .7
6.1.1 General .7
6.1.2 Privacy risk assessment.7
6.1.3 Privacy risk treatment .8
6.2 Privacy objectives and planning to achieve them .9
6.3 Planning of changes .10
7 Support .10
7.1 Resources .10
7.2 Competence .10
7.3 Awareness .10
7.4 Communication .10
7.5 Documented information .11
7.5.1 General .11
7.5.2 Creating and updating documented information .11
7.5.3 Control of documented information .11
8 Operation .12
8.1 Operational planning and control . 12
8.2 Privacy risk assessment . 12
8.3 Privacy risk treatment. 12
9 Performance evaluation .12
9.1 Monitoring, measurement, analysis and evaluation . . 12
9.2 Internal audit . 13
9.2.1 General . 13
9.2.2 Internal audit programme . 13
9.3 Management review . 13
9.3.1 General . 13
9.3.2 Management review inputs . 13
9.3.3 Management review results .14
10 Improvement . 14
10.1 Continual improvement .14
10.2 Nonconformity and corrective action .14
11 Further information on annexes . 14
Annex A (normative) PIMS reference control objectives and controls for PII controllers and PII
processors .15
© ISO/IEC 2025 – All rights reserved
iii
Annex B (normative) Implementation guidance for PII controllers and PII processors .21
Annex C (informative) Mapping to ISO/IEC 29100 . 51
Annex D (informative) Mapping to the General Data Protection Regulation .53
Annex E (informative) Mapping to ISO/IEC 27018 and ISO/IEC 29151 .56
Annex F (informative) Correspondence with ISO/IEC 27701:2019 .58
Bibliography .64
© ISO/IEC 2025 – All rights reserved
iv
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/
IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection, in collaboration with the
European Committee for Standardization (CEN) Technical Committee CEN/CLC/JTC 13, Cybersecurity and
data protection, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This second edition cancels and replaces the first edition (ISO/IEC 27701:2019), which has been technically
revised.
The main changes are as follows:
— the document has been redrafted as a stand-alone management system standard.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.
© ISO/IEC 2025 – All rights reserved
v
Introduction
0.1 General
Almost every organization processes personally identifiable information (PII). Further, the quantity and
types of PII processed are increasing, as are the number of situations where an organization needs to
cooperate with other organizations regarding the processing of PII. Protection of privacy in the context of
the processing of PII is a societal need, as well as the topic of dedicated legal requirements worldwide.
This document includes mapping to:
— the privacy framework and principles defined in ISO/IEC 29100;
— ISO/IEC 27018;
— ISO/IEC 29151;
— the EU General Data Protection Regulation.
NOTE These mappings can be interpreted to take into account local legal requirements.
This document can be used by PII controllers (including those that are joint PII controllers) and PII
processors (including those using subcontracted PII processors and those processing PII as subcontractors
to PII processors).
By complying with the requirements in this document, an organization can generate evidence of how it
handles the processing of PII. Such evidence can be used to facilitate agreements with business partners
where the processing of PII is mutually relevant. This can also assist in relationships with other interested
parties. The use of this document can provide independent verification of this evidence.
0.2 Compatibility with other management system standards
This document applies the framework developed by ISO to improve alignment among its management
system standards.
This document enables an organization to align or integrate its privacy information management system
(PIMS) with the requirements of other management system standards, and in particular with the
information security management system specified in ISO/IEC 27001.
© ISO/IEC 2025 – All rights reserved
vi
International Standard ISO/IEC 27701:2025(en)
Information security, cybersecurity and privacy protection —
Privacy information management systems — Requirements
and guidance
1 Scope
This document specifies requirements for establishing, implementing, maintaining and continually
improving a privacy information management system (PIMS).
Guidance is also provided to assist in the implementation of the requirements in this document.
This document is intended for personally identifiable information (PII) controllers and PII processors
holding responsibility and accountability for PII processing.
This document is applicable to all types and sizes of organizations, including public and private companies,
government entities and not-for-profit organizations.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 29100, Information technology — Security techniques — Privacy framework
3 Terms, definitions and abbreviations
For the purposes of this document, the terms and definitions given in ISO/IEC 29100 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
organization
person or group of people that has its own functions with responsibilities, authorities and relationships to
achieve its objectives (3.6)
Note 1 to entry: The concept of organization includes, but is not limited to, sole-trader, company, corporation, firm,
enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not,
public or private.
Note 2 to entry: If the organization is part of a larger entity, the term “organization” refers only to the part of the larger
entity that is within the scope of the privacy informationmanagement system (3.23).
3.2
interested party
person or organization (3.1) that can affect, be affected by, or perceive itself to be affected by a decision or
activity
© ISO/IEC 2025 – All rights reserved
3.3
top management
person or group of people who directs and controls an organization (3.1) at the highest level
Note 1 to entry: Top management has the power to delegate authority and provide resources within the organization.
Note 2 to entry: If the scope of the management system (3.4) covers only part of an organization, then top management
refers to those who direct and control that part of the organization.
3.4
management system
set of interrelated or interacting elements of an organization (3.1) to establish policies (3.5) and objectives
(3.6), as well as processes (3.8) to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines.
Note 2 to entry: The management system elements include the organization’s structure, roles and responsibilities,
planning and operation.
3.5
policy
intentions and direction of an organization (3.1) as formally expressed by its top management (3.3)
3.6
objective
result to be achieved
Note 1 to entry: An objective can be strategic, tactical, or operational.
Note 2 to entry: Objectives can relate to different disciplines (such as finance, health and safety, and environment).
They can be, for example, organization-wide or specific to a project, product or process (3.8).
Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended result, as a purpose, as an operational
criterion, as a privacy objective or by the use of other words with similar meaning (e.g. aim, goal, or target).
Note 4 to entry: In the context of privacy information management systems (3.23), privacy objectives are set by the
organization (3.1), consistent with the privacy policy (3.5), to achieve specific results.
3.7
risk
effect of uncertainty
Note 1 to entry: An effect is a deviation from the expected — positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of, an event, its consequence, or likelihood.
Note 3 to entry: Risk is often characterized by reference to potential events and consequences, or a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including changes
in circumstances) and the associated likelihood of occurrence.
3.8
process
set of interrelated or interacting activities that uses or transforms inputs to deliver a result
Note 1 to entry: Whether the result of a process is called an output, a product or a service depends on the context of
the reference.
3.9
competence
ability to apply knowledge and skills to achieve intended results
© ISO/IEC 2025 – All rights reserved
3.10
documented information
information required to be controlled and maintained by an organization (3.1) and the medium on which it
is contained
Note 1 to entry: Documented information can be in any format and media and from any source.
Note 2 to entry: Documented information can refer to:
— the management system (3.4), including related processes (3.8);
— information created in order for the organization to operate (documentation);
— evidence of results achieved (records).
3.11
performance
measurable result
Note 1 to entry: Performance can relate either to quantitative or qualitative findings.
Note 2 to entry: Performance can relate to managing activities, processes (3.8), products, services, systems or
organizations (3.1).
3.12
continual improvement
recurring activity to enhance performance (3.11)
3.13
effectiveness
extent to which planned activities are realized and planned results are achieved
3.14
requirement
need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization (3.1) and
interested parties (3.2) that the need or expectation under consideration is implied.
Note 2 to entry: A specified requirement is one that is stated, e.g. in documented information (3.10).
3.15
conformity
fulfilment of a requirement (3.14)
3.16
nonconformity
non-fulfilment of a requirement (3.14)
3.17
corrective action
action to eliminate the cause(s) of a nonconformity (3.16) and to prevent recurrence
3.18
audit
systematic and independent process (3.8) for obtaining evidence and evaluating it objectively to determine
the extent to which the audit criteria are fulfilled
Note 1 to entry: An audit can be an internal audit (first party) or an external audit (second party or third party), and it
can be a combined audit (combining two or more disciplines).
Note 2 to entry: An internal audit is conducted by the organization (3.1) itself, or by an external party on its behalf.
Note 3 to entry: “Audit evidence” and “audit criteria” are defined in ISO 19011.
© ISO/IEC 2025 – All rights reserved
3.19
measurement
process (3.8) to determine a value
3.20
monitoring
determining the status of a system, a process (3.8) or an activity
Note 1 to entry: To determine the status, there can be a need to check, supervise or critically observe.
3.21
joint PII controller
personally identifiable information (PII) controller that determines the purposes and means of the
processing of PII jointly with one or more other PII controllers
3.22
customer
person or organization (3.1) that can or does receive a product or a service that is intended for or required
by this person or organization
EXAMPLE Consumer, client, end-user, retailer, receiver of product or service from an internal process (3.8),
beneficiary and purchaser.
Note 1 to entry: A customer can be internal or external to the organization.
Note 2 to entry: A customer can be an organization that has a contract with a PII controller, a PII controller who has a
contract with a PII processor or a PII processor that has a contract with a subcontractor for PII processing.
3.23
privacy information management system
PIMS
management system (3.4) which addresses the protection of privacy as potentially affected by the processing
of personally identifiable information
3.24
information security programme
set of policies (3.5), objectives (3.6) and processes (3.8) designed to manage risks (3.7) to an organization's
(3.1) assets, to ensure confidentiality, integrity and availability of information
Note 1 to entry: An information security programme can be, for example, an information security management system
such as one based on ISO/IEC 27001.
3.25
statement of applicability
documentation of all necessary controls and justification for the inclusion or exclusion of such controls
4 Context of the organization
4.1 Understanding the organization and its context
The organization shall determine external and internal issues that are relevant to its purpose and that affect
its ability to achieve the intended result(s) of its privacy information management system.
The organization shall determine whether climate change is a relevant issue.
The organization shall determine if it is acting as a PII controller (including as a joint PII controller) or as a
PII processor.
The organization shall determine external and internal issues that are relevant to its context and that affect
its ability to achieve the intended outcome(s) of its PIMS.
NOTE 1 External and internal issues can include but are not limited to:
© ISO/IEC 2025 – All rights reserved
— applicable privacy legislation;
— applicable regulations;
— applicable judicial decisions;
— applicable organizational context, governance, policies and procedures;
— applicable administrative decisions;
— applicable contractual requirements.
Where the organization acts in both roles (i.e. a PII controller and a PII processor), separate roles shall be
determined, each of which is the subject of a separate set of controls.
NOTE 2 The role of the organization can be different for each instance of the processing of PII, since it depends on
who determines the purposes and means of the processing.
4.2 Understanding the needs and expectations of interested parties
The organization shall determine:
— the interested parties that are relevant to the privacy information management system;
— the relevant requirements of these interested parties;
— which of these requirements will be addressed through the privacy information management system.
NOTE 1 Relevant interested parties can have requirements related to climate change.
The organization shall include among its interested parties those parties having interests or responsibilities
associated with the processing of PII, including the PII principals.
NOTE 2 Other interested parties can include customers, supervisory authorities, other PII controllers, PII
processors and their subcontractors.
Depending on the role of the organization, “customer” can be understood as either:
a) an organization who has a contract with a PII controller (e.g. the customer of the PII controller);
NOTE 3 This can be the case of an organization which is a joint PII controller.
b) a PII controller who has a contract with a PII processor (e.g. the customer of the PII processor); or
c) a PII processor who has a contract with a subcontractor for PII processing (e.g. the customer of the
subcontracted PII processor).
NOTE 4 An individual person whose PII is processed in a business association (for example in a consumer, employee,
vendor, visitor relationship) is referred to as a “PII principal” in this document.
NOTE 5 Requirements relevant to the processing of PII can be determined by legal and regulatory requirements, by
contractual obligations and by self-imposed organizational objectives. The privacy principles set out in ISO/IEC 29100
provide guidance concerning the processing of PII.
NOTE 6 To demonstrate conformity with the organization's obligations, some interested parties can expect that
the organization is in conformity with specific standards, such as the management system specified in this document
or any relevant set of specifications. These parties can call for independently audited conformity to these standards.
4.3 Determining the scope of the privacy information management system
The organization shall determine the boundaries and applicability of the privacy information management
system to establish its scope.
© ISO/IEC 2025 – All rights reserved
When determining this scope, the organization shall consider:
— the external and internal issues referred to in 4.1;
— the requirements referred to in 4.2.
The scope shall be available as documented information.
When determining the scope of the PIMS, the organization shall include the processing of PII.
4.4 Privacy information management system
The organization shall establish, implement, maintain and continually improve a privacy information
management system, including the processes needed and their interactions, in accordance with the
requirements of this document.
5 Leadership
5.1 Leadership and commitment
Top management shall demonstrate leadership and commitment with respect to the privacy information
management system by:
— ensuring that the privacy policy (see 5.2) and privacy objectives (see 6.2) are established and are
compatible with the strategic direction of the organization;
— ensuring the integration of the privacy information management system requirements into the
organization’s business processes;
— ensuring that the resources needed for the privacy information management system are available;
— communicating the importance of effective privacy information management and of conforming to the
privacy information management system requirements;
— ensuring that the privacy information management system achieves its intended result(s);
— directing and supporting persons to contribute to the effectiveness of the privacy information
management system;
— promoting continual improvement;
— supporting other relevant roles to demonstrate their leadership as it applies to their areas of responsibility.
NOTE Reference to “business” in this document can be interpreted broadly to mean those activities that are core
to the purposes of the organization’s existence.
5.2 Privacy policy
Top management shall establish a privacy policy that:
a) is appropriate to the purpose of the organization;
b) provides a framework for setting privacy objectives;
c) includes a commitment to meet applicable requirements;
d) includes a commitment to continual improvement of the privacy information management system.
The privacy policy shall:
— be available as documented information;
© ISO/IEC 2025 – All rights reserved
— be communicated within the organization;
— be available to interested parties, as appropriate.
5.3 Roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for relevant roles are assigned and
communicated within the organization.
Top management shall assign the responsibility and authority for:
a) ensuring that the privacy information management system conforms to the requirements of this
document;
b) reporting on the performance of the privacy information management system to top management.
6 Planning
6.1 Actions to address risks and opportunities
6.1.1 General
When planning for the privacy information management system, the organization shall consider the issues
referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that
need to be addressed to:
— give assurance that the privacy information management system can achieve its intended result(s);
— prevent, or reduce, undesired effects;
— achieve continual improvement.
The organization shall plan:
a) actions to address these risks and opportunities;
b) how to
— integrate and implement the actions into its privacy information management system processes;
— evaluate the effectiveness of these actions.
6.1.2 Privacy risk assessment
The organization shall define and apply a privacy risk assessment process that:
a) establishes and maintains privacy risk criteria that include:
1) the risk acceptance criteria; and
2) criteria for performing privacy risk assessments;
b) ensures that repeated privacy risk assessments produce consistent, valid and comparable results;
c) identifies the privacy risks:
1) associated with the protection of privacy and information security risks within the scope of the
privacy information management system; and
© ISO/IEC 2025 – All rights reserved
2) that identify the risk owners;
d) analyses the privacy risks that:
1) assess the potential consequences for both the organization and PII principals that would result if
the risks identified in c) 1) were to materialize;
2) assess the realistic likelihood of the occurrence of the risks identified in c) 1); and
3) determine the levels of risk;
e) evaluates the privacy risks that:
1) compare the results of risk analysis with the risk criteria established in a); and
2) prioritize the analysed risks for risk treatment.
The organization shall retain documented information about the privacy risk assessment process.
NOTE For further information on the privacy risk assessment process, see ISO/IEC 27557.
6.1.3 Privacy risk treatment
The organization shall define and apply a privacy risk treatment process to treat risks related to the
processing of PII, including risks to PII principals, and including the security of PII, by:
a) selecting appropriate privacy risk treatment options, taking account of the risk assessment results;
b) determining all controls that are necessary to implement the privacy risk treatment option(s) chosen;
NOTE 1 Organizations can design controls as required or identify them from any source.
c) identifying and documenting the information security programme implemented by the organization,
including the appropriate security controls;
The information security programme at a minimum should address the following:
— information security risk management;
— policies for information security;
— organization of information security;
— human resources security;
— asset management;
— access control;
— operations security;
— network security management;
— development security;
— supplier management;
— incident management;
— information security continuity;
— information security reviews;
— cryptography; and
© ISO/IEC 2025 – All rights reserved
— physical and environmental security.
NOTE 2 ISO/IEC 27002 provides a list of possible information security controls. If the information security
programme is based on ISO/IEC 27001, ISO/IEC 27002 can be consulted to ensure that no necessary information
security controls are overlooked.
d) comparing the controls determined in b) and c) above with those in Annex A and verifying that no
necessary controls have been omitted;
NOTE 3 Annex A contains a list of possible privacy controls. Annex A can be consulted to ensure that no
necessary privacy controls are overlooked.
NOTE 4 The privacy controls listed in Annex A are not exhaustive and additional privacy controls can be
included if needed.
NOTE 5 Organizations can address information security and privacy in an integrated manner when considering
the security of PII processing, combining information security and privacy risk assessments for example, or as
separate entities with overlapping areas.
e) producing a statement of applicability that includes:
— the necessary controls [see b), c) and d)];
— justification for their inclusion;
— whether the necessary controls are implemented or not; and
— the justification for excluding any of the controls from Annex A.
It is not necessary to include all controls listed in Annex A. For example, controls can be excluded if they are
not deemed necessary by the risk assessment or are not covered by (or are subject to exceptions under) the
applicable legal requirements, including those applicable to the PII principal.
f) formulating a privacy risk treatment plan;
g) obtaining the privacy risk owners’ approval of the privacy risk treatment plan and acceptance of the
residual privacy risks; and
h) considering the guidance in Annex B for the implementation of controls determined in b) and c).
The organization shall retain documented information about the privacy risk treatment process.
6.2 Privacy objectives and planning to achieve them
The organization shall establish privacy objectives at relevant functions and levels.
The privacy objectives shall:
a) be consistent with the privacy policy (see 5.2);
b) be measurable (if practicable);
c) take into account applicable requirements;
d) be monitored;
e) be communicated;
f) be updated as appropriate;
g) be available as documented information.
When planning how to achieve its privacy objectives, the organization shall determine:
— what will be done;
© ISO/IEC 2025 – All rights reserved
— what resources will be required;
— who will be responsible;
— when it will be completed;
— how the results will be evaluated.
6.3 Planning of changes
When the organization determines the need for changes to the privacy information management system,
the changes shall be carried out in a planned manner.
7 Support
7.1 Resources
The organization shall determine and provide the resources needed for the establishment, implementation,
maintenance and continual improvement of the privacy information management system.
7.2 Competence
The organization shall:
— determine the necessary competence of person(s) doing work under its control that affects its privacy
information management performance;
— ensure that these persons are competent on the basis of appropriate education, training, or experience;
— where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of
the actions taken.
Appropriate documented information shall be available as evidence of competence.
NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the re-
assignment of currently employed persons; or the hiring or contracting of competent persons.
7.3 Awareness
Persons doing work under the organization’s control shall be aware of:
— the privacy policy (see 5.2);
— their contribution to the effectiveness of the privacy information management system, including the
benefits of improved privacy performance;
— the implications of not conforming with the privacy information management system requirements.
7.4 Communication
The organization shall determine the internal and external communications relevant to the privacy
information management system including:
— on what it will communicate;
— when to communicate;
— with whom to communicate;
— how to communicate.
© ISO/IEC 2025 – All rights reserved
7.5 Documented information
7.5.1 General
The organization’s privacy information management system shall include:
a) documented information required by this document;
b) documented information determined by the organization as being necessary for the effectiveness of the
privacy information management system.
NOTE The extent of documented information for a privacy information management system can differ from one
organization to another due to:
— the size of organization and its type of activities, processes, products and services;
— the complexity of processes and their interactions;
— the competence of persons.
7.5.2 Creating and updating documented information
When creating and updating documented information, the organization shall ensure appropriate:
— identification and description (e.g. a title, date, author, or reference number);
— format (e.g. language, software version, graphics) and media (e.g. paper, electronic);
— review and approval for suitability and adequacy.
7.5.3 Control of documented information
Documented information required by the privacy information management system and by this document
shall be controlled to ensure:
a) it is available and suitable for use, where and when it is needed;
b) it is adequately protected (e.g. from loss of confidentiality, improper use, or loss of integrity).
For the control of documented information, the organization shall address the following activities, as
applicable:
— distribution, access, retrieval and use;
— storage and preservation, including preservation of legibility;
— control of changes (e.g. version control);
— retention and disposition.
Documented information of external origin determined by the organization to be necessary for the planning
and operation of the privacy information management system shall be identified as appropriate, and
controlled.
NOTE Access can imply a decision regarding the permission to view the documented information only, or the
permission and authority to view and change the documented information.
© ISO/IEC 2025 – All rights reserved
8 Operation
8.1 Operational planning and control
The organization shall plan, implement and control the processes needed to meet requirements, and to
implement the actions determined in Clause 6, by:
— establishing criteria for the processes;
— implementing control of the processes in accordance with the criteria.
Documented information shall be available to the extent necessary to have confidence that the processes
have been carried out as planned.
The organization shall control planned changes and review the consequences of unintended changes, taking
action to mitigate any adverse effects, as necessary.
The organization shall ensure that externally provided processes, products or services that are relevant to
the privacy information management system are controlled.
8.2 Privacy risk assessment
The organization shall perform privacy risk assessments at planned intervals or when significant changes
are proposed or occur, taking account of the criteria established in 6.1.2 a).
The organization shall retain documented information of the results of the privacy risk assessments.
8.3 Privacy risk treatment
The organization shall implement the privacy risk treatment plan.
The organization shall retain documented information of the results of the privacy risk treatment.
9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
The organization shall determine:
— what needs to be monitored and measured;
— the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results;
— when the monitoring and measuring shall be pe
...
Norme
internationale
ISO/IEC 27701
Deuxième édition
Sécurité de l'information,
2025-10
cybersécurité et protection de la vie
privée — Systèmes de management
de la protection de la vie privée —
Exigences et recommandations
Information security, cybersecurity and privacy protection —
Privacy information management systems — Requirements and
guidance
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2025
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2025 – Tous droits réservés
ii
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 1
4 Contexte de l'organisme . 5
4.1 Comprendre l'organisme et son contexte .5
4.2 Comprendre les besoins et attentes des parties intéressées .5
4.3 Déterminer le champ d'application du système de management de la protection de la
vie privée .6
4.4 Système de management de la protection de la vie privée .6
5 Leadership . 6
5.1 Leadership et engagement .6
5.2 Politique de protection de la vie privée .7
5.3 Rôles, responsabilités et autorités au sein de l'organisme .7
6 Planification. 8
6.1 Actions pour traiter les risques et les opportunités .8
6.1.1 Généralités .8
6.1.2 Appréciation des risques sur la vie privée .8
6.1.3 Traitement des risques sur la vie privée .9
6.2 Objectifs de protection de la vie privée et planification pour les atteindre .10
6.3 Planification des changements .11
7 Support .11
7.1 Ressources .11
7.2 Compétences . . .11
7.3 Sensibilisation .11
7.4 Communication .11
7.5 Informations documentées . 12
7.5.1 Généralités . 12
7.5.2 Création et mise à jour des informations documentées . 12
7.5.3 Maîtrise des informations documentées . 12
8 Réalisation .13
8.1 Planification et maîtrise . . 13
8.2 Appréciation des risques sur la vie privée . . 13
8.3 Traitement des risques sur la vie privée . 13
9 Évaluation des performances .13
9.1 Surveillance, mesure, analyse et évaluation . 13
9.2 Audit interne . .14
9.2.1 Généralités .14
9.2.2 Programme d'audit interne.14
9.3 Revue de direction .14
9.3.1 Généralités .14
9.3.2 Éléments d'entrée de la revue de direction .14
9.3.3 Résultats des revues de direction . 15
10 Amélioration .15
10.1 Amélioration continue . 15
10.2 Non-conformité et action corrective . 15
11 Informations supplémentaires sur les annexes .15
Annexe A (normative) Objectifs et mesures de référence du PIMS pour les responsables de
traitement de DCP et les sous-traitants de DCP . 17
© ISO/IEC 2025 – Tous droits réservés
iii
Annexe B (normative) Recommandations de mise en œuvre pour les responsables de
traitement de DCP et les sous-traitants de DCP .23
Annexe C (informative) Correspondance avec l'ISO/IEC 29100 .56
Annexe D (informative) Correspondance avec le Règlement général sur la protection des
données .59
Annexe E (informative) Correspondance avec l'ISO/IEC 27018 et l'ISO/IEC 29151 .62
Annexe F (informative) Correspondance avec l'ISO/IEC 27701:2019 .64
Bibliographie .71
© ISO/IEC 2025 – Tous droits réservés
iv
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l’IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.
Les comités techniques de l'ISO et de l’IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l’IEC,
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents. Le présent document a été rédigé conformément
aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.iso.org/directives ou
www.iec.ch/members_experts/refdocs).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée, en collaboration
avec le comité technique CEN/CLC/JTC 13, Cybersécurité et protection des données, du Comité européen de
normalisation (CEN), conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord de
Vienne).
Cette deuxième édition annule et remplace la première édition (ISO/IEC 27701:2019), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes:
— le document a été reformulé en tant que norme de système de management autonome.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.
© ISO/IEC 2025 – Tous droits réservés
v
Introduction
0.1 Généralités
Tous les organismes ou presque traitent des données à caractère personnel (DCP). En outre, la quantité et
les types de DCP traitées sont en augmentation, de même que le nombre de situations où un organisme a
besoin de collaborer avec d'autres organismes en ce qui concerne le traitement des DCP. La protection de la
vie privée dans le contexte du traitement des DCP est une nécessité sociétale, et elle fait l'objet d’exigences
légales dédiées dans le monde entier.
Le présent document inclut une mise en correspondance avec:
— les principes et le cadre de la protection de la vie privée définis dans l'ISO/IEC 29100;
— l'ISO/IEC 27018;
— ISO/IEC 29151;
— le Règlement général sur la protection des données.
NOTE Il est possible d'interpréter ces correspondances de façon à tenir compte des exigences légales locales.
Le présent document peut être utilisé par les responsables de traitement de DCP (y compris ceux qui sont
des responsables conjoints de traitement) et les sous-traitants de DCP (y compris ceux qui utilisent des sous-
traitants de DCP sous-traitants et ceux qui traitent des DCP en tant que sous-traitants à des sous-traitants
de DCP).
En se conformant aux exigences du présent document, un organisme peut produire des preuves de la façon
dont il gère le traitement des DCP. Ces preuves peuvent être utilisées pour faciliter les accords avec les
partenaires d'affaires là où les deux parties sont concernées par le traitement des DCP. Cela peut également
faciliter les relations avec d'autres parties intéressées. L'utilisation du présent document peut fournir une
vérification indépendante de ces preuves.
0.2 Compatibilité avec les autres normes de systèmes de management
Le présent document applique le cadre élaboré par l'ISO afin d'améliorer l'harmonisation entre ses normes
de systèmes de management.
Le présent document permet à un organisme d'aligner ou d'intégrer son système de management de la
protection de la vie privée (PIMS) aux exigences d'autres normes de systèmes de management, et notamment
au système de management de la sécurité de l'information spécifié dans l'ISO/IEC 27001.
© ISO/IEC 2025 – Tous droits réservés
vi
Norme internationale ISO/IEC 27701:2025(fr)
Sécurité de l'information, cybersécurité et protection de la vie
privée — Systèmes de management de la protection de la vie
privée — Exigences et recommandations
1 Domaine d'application
Le présent document spécifie les exigences relatives à la création, la mise en œuvre, le maintien et
l'amélioration continue d'un système de management de la protection de la vie privée (PIMS).
Des recommandations sont également fournies pour faciliter la mise en œuvre des exigences du présent
document.
Le présent document s'adresse aux responsables de traitement de données à caractère personnel (DCP) et
aux sous-traitants de DCP chargés et responsables du traitement des DCP.
Le présent document s'applique aux organismes de tous types et de toutes tailles, y compris les entreprises
publiques et privées, les entités gouvernementales et les organismes à but non lucratif.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique. Pour
les références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO/IEC 29100, Technologies de l'information — Techniques de sécurité — Cadre privé
3 Termes, définitions et abréviations
Pour les besoins du présent document, les termes et les définitions de l'ISO/IEC 29100 ainsi que les suivants
s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
organisme
personne ou groupe de personnes ayant ses propres fonctions, avec des responsabilités, des autorités et des
relations lui permettant d'atteindre ses objectifs (3.6)
Note 1 à l'article: Le concept d'organisme englobe, sans s'y limiter, les travailleurs indépendants, les compagnies,
les sociétés, les firmes, les entreprises, les administrations, les partenariats, les organisations caritatives ou les
institutions, ou bien une partie ou une combinaison des entités précédemment mentionnées, qu'il s'agisse d'une
personne morale ou non, de droit public ou privé.
Note 2 à l'article: Si l'organisme fait partie d'une plus grande entité, le terme «organisme» fait uniquement référence à
la partie de cette entité qui est comprise dans le champ d'application du système de management (3.23) de la protection
de la vie privée.
© ISO/IEC 2025 – Tous droits réservés
3.2
partie intéressée
personne ou organisme (3.1) qui peut soit influer sur une décision ou une activité, soit être influencé(e) ou se
sentir influencé(e) par une décision ou une activité
3.3
direction
personne ou groupe de personnes qui oriente et dirige un organisme (3.1) au plus haut niveau
Note 1 à l'article: La direction a le pouvoir de déléguer son autorité et de fournir des ressources au sein de l'organisme.
Note 2 à l'article: Si le domaine d'application du système de management (3.4) ne couvre qu’une partie de l’organisme,
alors «direction» fait référence à ceux qui orientent et dirigent cette partie de l’organisme.
3.4
système de management
ensemble d'éléments corrélés ou en interaction d'un organisme (3.1), utilisés pour établir des politiques (3.5)
et des objectifs (3.6), ainsi que des processus (3.8) de façon à atteindre ces objectifs
Note 1 à l'article: Un système de management peut aborder un seul ou plusieurs domaines.
Note 2 à l'article: Les éléments du système de management comprennent la structure, les rôles et responsabilités, la
planification et le fonctionnement de l'organisme.
3.5
politique
intentions et orientations d'un organisme (3.1) telles qu'elles sont officiellement formulées par sa direction (3.3)
3.6
objectif
résultat à atteindre
Note 1 à l'article: Un objectif peut être stratégique, tactique ou opérationnel.
Note 2 à l'article: Les objectifs peuvent se rapporter à plusieurs domaines (tels que la finance, la santé et la sécurité, et
l'environnement). Ils peuvent, par exemple, concerner tout l'organisme ou bien un projet, un produit ou un processus (3.8).
Note 3 à l'article: Il est possible qu'un objectif soit exprimé de différentes manières, par exemple par un résultat
attendu, une finalité, un critère opérationnel, un objectif de protection de la vie privée, ou par l'utilisation d'autres
termes ayant la même signification (par exemple ambition, but ou cible).
Note 4 à l'article: Dans le contexte des systèmes de management de la protection de la vie privée (3.23), les objectifs de
protection de la vie privée sont fixés par l'organisme (3.1), en cohérence avec sa politique (3.5) de protection de la vie
privée et en vue d'obtenir des résultats précis.
3.7
risque
effet de l'incertitude
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l'article: L'incertitude est l'état, même partiel, de manque d'information, de compréhension ou de connaissance
relative à un événement, à ses conséquences ou à sa vraisemblance.
Note 3 à l'article: Un risque est souvent caractérisé par référence à des événements potentiels et à des conséquences
potentielles, ou par référence à une combinaison des deux.
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement
(y compris une variation des circonstances) et de la vraisemblance de son occurrence.
© ISO/IEC 2025 – Tous droits réservés
3.8
processus
ensemble d'activités corrélées ou en interaction qui utilise ou transforme des éléments d'entrée pour
produire un résultat
Note 1 à l'article: La désignation du résultat d'un processus comme «élément de sortie», «produit» ou «service» dépend
du contexte de référence.
3.9
compétence
aptitude à mettre en pratique des connaissances et des savoir-faire pour obtenir les résultats attendus
3.10
information documentée
information devant être maîtrisée et tenue à jour par un organisme (3.1) ainsi que le support sur lequel elle
est disponible
Note 1 à l'article: Les informations documentées peuvent se présenter sous n'importe quels format et support et
peuvent provenir de n'importe quelle source.
Note 2 à l'article: «Information documentée» peut renvoyer:
— au système de management (3.4), y compris les processus (3.8) connexes;
— aux informations créées en vue du fonctionnement de l'organisme (documentation);
— aux preuves des résultats obtenus (enregistrements).
3.11
performance
résultat mesurable
Note 1 à l'article: Les performances peuvent se rapporter à des résultats quantitatifs ou qualitatifs.
Note 2 à l'article: Les performances peuvent concerner le management d'activités, de processus (3.8), de produits, de
services, de systèmes ou d'organismes (3.1).
3.12
amélioration continue
activité récurrente menée pour améliorer les performances (3.11)
3.13
efficacité
niveau de réalisation des activités planifiées et des résultats attendus
3.14
exigence
besoin ou attente formulé(e), généralement implicite ou obligatoire
Note 1 à l'article: «Généralement implicite» signifie qu’il est habituel ou courant, pour l’organisme (3.1) et les parties
intéressées (3.2), que le besoin ou l’attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence qui est formulée, par exemple dans une information
documentée (3.10).
3.15
conformité
satisfaction d'une exigence (3.14)
3.16
non-conformité
non-satisfaction d'une exigence (3.14)
© ISO/IEC 2025 – Tous droits réservés
3.17
action corrective
action visant à éliminer la ou les causes d'une non-conformité (3.16) et à prévenir sa récurrence
3.18
audit
processus (3.8) systématique et indépendant visant à obtenir des preuves et à les évaluer de manière
objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits
Note 1 à l'article: Un audit peut être interne (de première partie) ou externe (de seconde ou tierce partie), et il peut être
un audit combiné (s'il combine au moins deux domaines).
Note 2 à l'article: Un audit interne est conduit par l'organisme (3.1) lui-même ou par une partie externe pour le compte
de celui-ci.
Note 3 à l'article: Les termes «preuves d'audit» et «critères d'audit» sont définis dans l'ISO 19011.
3.19
mesure mesurage
processus (3.8) visant à déterminer une valeur
3.20
surveillance
détermination de l'état d'un système, d'un processus (3.8) ou d'une activité
Note 1 à l'article: Pour déterminer cet état, il peut être nécessaire de vérifier, de superviser ou d'observer d'un point de
vue critique.
3.21
responsable conjoint de traitement
responsable de traitement de données à caractère personnel (DCP) qui détermine les finalités et les moyens
du traitement des DCP conjointement avec un ou plusieurs autres responsables de traitement de DCP
3.22
client
personne ou organisme (3.1) qui peut recevoir ou qui reçoit un produit ou un service destiné à, ou demandé
par, cette personne ou cet organisme
EXEMPLE Consommateur, client, utilisateur final, détaillant, destinataire d'un produit ou d'un service issu d'un
processus (3.8) interne, bénéficiaire et acheteur.
Note 1 à l'article: Un client peut être interne à l'organisme ou lui être externe.
Note 2 à l'article: Un client peut être un organisme qui a conclu un contrat avec un responsable de traitement de DCP,
un responsable de traitement de DCP qui a conclu un contrat avec un sous-traitant de DCP ou un sous-traitant de DCP
qui a conclu un contrat avec un sous-traitant pour le traitement de DCP.
3.23
système de management de la protection de la vie privée
PIMS
système de management (3.4) qui gère la protection de la vie privée telle que potentiellement affectée par le
traitement des données à caractère personnel
3.24
programme de sécurité de l'information
ensemble de politiques (3.5), d'objectifs (3.6) et de processus (3.8) conçu pour gérer les risques (3.7) pour les
actifs d'un organisme (3.1), afin d'assurer la confidentialité, l'intégrité et la disponibilité des informations
Note 1 à l'article: Un programme de sécurité de l'information peut, par exemple, être un système de management de la
sécurité de l'information tel qu'un système basé sur l'ISO/IEC 27001.
© ISO/IEC 2025 – Tous droits réservés
3.25
déclaration d'applicabilité
documentation de toutes les mesures de sécurité nécessaires et justification de l'inclusion ou de l'exclusion
de telles mesures
4 Contexte de l'organisme
4.1 Comprendre l'organisme et son contexte
L'organisme doit déterminer les enjeux internes et externes pertinents par rapport à sa finalité et qui ont
une incidence sur sa capacité à atteindre le ou les résultats attendus de son système de management de la
protection de la vie privée.
L'organisme doit déterminer si de tels enjeux découlent des changements climatiques.
L'organisme doit déterminer s'il agit comme responsable de traitement de DCP (y compris comme
responsable conjoint de traitement) ou comme sous-traitant de DCP.
L'organisme doit déterminer les enjeux externes et internes pertinents pour son contexte, et qui ont une
incidence sur sa capacité à atteindre le ou les résultat(s) attendu(s) de son PIMS.
NOTE 1 Les enjeux internes et externes peuvent comprendre, sans que cela s'y limite:
— législation applicable en matière de protection de la vie privée;
— réglementations applicables;
— décisions judiciaires applicables;
— contexte, gouvernance, politiques et procédures organisationnels applicables;
— décisions administratives applicables;
— exigences contractuelles applicables.
Lorsque l'organisme agit dans les deux rôles (c'est-à-dire comme responsable de traitement de DCP et
comme sous-traitant de DCP), les différents rôles doivent être déterminés, chacun d'entre eux faisant l'objet
d'une série de mesures distincte.
NOTE 2 Le rôle de l'organisme peut être différent pour chaque instance du traitement des DCP, étant donné qu'il
dépend de qui détermine les finalités et les moyens du traitement.
4.2 Comprendre les besoins et attentes des parties intéressées
L'organisme doit déterminer:
— les parties intéressées qui sont concernées par le système de management de la protection de la vie privée;
— les exigences pertinentes de ces parties intéressées;
— lesquelles de ces exigences seront traitées par le système de management de la protection de la vie privée.
NOTE 1 Les parties intéressées concernées peuvent avoir des exigences relatives aux changements climatiques.
L'organisme doit inclure parmi ses parties intéressées les parties ayant des intérêts ou des responsabilités
associés au traitement des DCP, y compris les personnes concernées.
NOTE 2 Les autres parties intéressées peuvent inclure les clients, les autorités de contrôle, d'autres responsables
de traitement de DCP, les sous-traitants de DCP et leurs sous-traitants.
© ISO/IEC 2025 – Tous droits réservés
Selon le rôle de l'organisme, le terme «client» peut être compris comme signifiant:
a) un organisme qui a conclu un contrat avec un responsable de traitement de DCP (par exemple: le client
du responsable de traitement de DCP);
NOTE 3 Cela peut être le cas d'un organisme qui est un responsable conjoint de traitement de DCP.
b) un responsable de traitement de DCP qui a conclu un contrat avec un sous-traitant de DCP (par exemple:
le client du sous-traitant de DCP); ou
c) un sous-traitant de DCP qui a conclu un contrat avec un sous-traitant pour le traitement de DCP (par
exemple: le client du sous-traitant de DCP sous-traitant).
NOTE 4 Une personne physique dont les DCP sont traitées dans le cadre d'une association professionnelle (par
exemple, dans le cas d'une relation avec un consommateur, un employé, un vendeur, un visiteur) est appelée «personne
concernée» dans le présent document.
NOTE 5 Les exigences pertinentes pour le traitement des DCP peuvent être déterminées par les exigences légales
et réglementaires, par les obligations contractuelles et les objectifs que l'organisation s'impose elle-même. Les
principes de protection de la vie privée énoncés dans l'ISO/IEC 29100 fournissent des recommandations concernant le
traitement des DCP.
NOTE 6 Afin de démontrer la conformité aux obligations de l'organisme, certaines parties intéressées peuvent
attendre de l'organisme qu'il se conforme à des normes spécifiques, telles que le système de management spécifié dans
le présent document, ou à tout ensemble pertinent de spécifications. Ces parties peuvent demander que la conformité
à ces normes fasse l'objet d'un audit indépendant.
4.3 Déterminer le champ d'application du système de management de la protection de la
vie privée
L'organisme doit déterminer le ou les périmètres et l'applicabilité du système de management de la protection
de la vie privée, afin d'en déterminer le champ d'application.
Ce faisant, l'organisme doit prendre en compte:
— les enjeux externes et internes auxquels il est fait référence en 4.1;
— les exigences mentionnées en 4.2.
Le périmètre doit être disponible sous forme d'information documentée.
Lors de la détermination du champ d'application du PIMS, l'organisme doit inclure le traitement des DCP.
4.4 Système de management de la protection de la vie privée
L'organisme doit établir, mettre en œuvre, tenir à jour et améliorer en continu un système de management
de la protection de la vie privée, y compris les processus nécessaires et leurs interactions, conformément
aux exigences du présent document.
5 Leadership
5.1 Leadership et engagement
La direction doit démontrer son leadership et engagement vis-à-vis du système de management de la
protection de la vie privée en:
— s'assurant que la politique de protection de la vie privée (voir 5.2) et les objectifs de protection de la vie
privée (voir 6.2) sont établis et qu'ils sont compatibles avec l'orientation stratégique de l'organisme;
— s'assurant que les exigences liées au système de management de la protection de la vie privée sont
intégrées aux processus métier de l'organisme;
© ISO/IEC 2025 – Tous droits réservés
— s'assurant que les ressources nécessaires pour le système de management de la protection de la vie
privée sont disponibles;
— communiquant sur l'importance de l'efficacité du management de la protection de la vie privée et de la
conformité aux exigences du système de management de la protection de la vie privée;
— s'assurant que le système de management de la protection de la vie privée atteint le ou les résultats
attendus;
— orientant et soutenant les personnes pour qu'elles contribuent à l'efficacité du système de management
de la protection de la vie privée;
— promouvant l'amélioration continue;
— soutenant les autres rôles pertinents afin de démontrer que leur leadership s'applique dans leurs
domaines de responsabilité.
NOTE La référence au «métier» dans le présent document peut s'interpréter au sens large, c'est-à-dire comme les
activités qui contribuent directement aux finalités de l'organisme.
5.2 Politique de protection de la vie privée
La direction doit établir une politique de protection de la vie privée:
a) appropriée à la finalité de l’organisme;
b) fournissant un cadre pour établir des objectifs de protection de la vie privée;
c) incluant l'engagement de satisfaire aux exigences applicables;
d) comprenant un engagement en faveur de l'amélioration continue du système de management de la
protection de la vie privée.
La politique de protection de la vie privée doit:
— être disponible sous forme d’information documentée;
— être communiquée au sein de l'organisme;
— être disponible pour les parties intéressées, le cas échéant.
5.3 Rôles, responsabilités et autorités au sein de l'organisme
La direction doit s'assurer que les responsabilités et autorités des rôles pertinents sont attribuées et
communiquées au sein de l'organisme.
La direction doit attribuer la responsabilité et l'autorité pour:
a) s'assurer que le système de management de la protection de la vie privée est conforme aux exigences du
présent document;
b) rendre compte des performances du système de management de la protection de la vie privée à la
direction.
© ISO/IEC 2025 – Tous droits réservés
6 Planification
6.1 Actions pour traiter les risques et les opportunités
6.1.1 Généralités
Lors de la planification de son système de management de la protection de la vie privée, l'organisme doit
examiner les enjeux mentionnés en 4.1 et les exigences mentionnées en 4.2 et déterminer les risques et les
opportunités à traiter en vue de:
— donner l'assurance que le système de management de la protection de la vie privée peut atteindre le ou
les résultats attendus;
— prévenir ou réduire les effets indésirables; et
— appliquer avec succès une démarche d'amélioration continue.
L'organisme doit planifier:
a) les actions pour traiter les risques et les opportunités;
b) la manière:
— d'intégrer et de mettre en œuvre les actions au sein des processus de son système de management de la
protection de la vie privée;
— d'évaluer l'efficacité de ces actions.
6.1.2 Appréciation des risques sur la vie privée
L'organisme doit définir et appliquer un processus d'appréciation des risques sur la vie privée qui:
a) établit et tient à jour les critères de risques sur la vie privée incluant:
1) les critères d'acceptation des risques; et
2) les critères de réalisation des appréciations des risques sur la vie privée;
b) s'assure que la répétition de ces appréciations des risques sur la vie privée produit des résultats
cohérents, valides et comparables;
c) identifie les risques sur la vie privée:
1) associés à la protection de la vie privée et aux risques liés à la sécurité de l'information dans le
domaine d'application du système de management de la protection de la vie privée; et
2) qui identifient les propriétaires des risques;
d) analyse les risques sur la vie privée qui:
1) apprécient les conséquences potentielles, tant pour l'organisme que pour les personnes concernées,
dans le cas où les risques identifiés en c) 1) se concrétiseraient;
2) procèdent à une évaluation réaliste de la vraisemblance d'apparition des risques identifiés en c) 1); et
3) déterminent les niveaux des risques;
e) évalue les risques sur la vie privée qui:
1) comparent les résultats d'analyse des risques avec les critères de risque déterminés en a); et
2) priorisent les risques analysés pour le traitement des risques.
© ISO/IEC 2025 – Tous droits réservés
L'organisme doit conserver des informations documentées sur le processus d'appréciation des risques sur la
vie privée.
NOTE Pour des informations supplémentaires sur le processus d'appréciation des risques sur la vie privée, voir
l'ISO/IEC 27557.
6.1.3 Traitement des risques sur la vie privée
L'organisme doit définir et appliquer un processus de traitement des risques sur la vie privée pour traiter
les risques liés au traitement des DCP, y compris les risques pour les personnes concernées et la sécurité des
DCP, en:
a) choisissant les options appropriées de traitement des risques sur la vie privée, en tenant compte des
résultats de l'appréciation des risques;
b) déterminant toutes les mesures nécessaires à la mise en œuvre de(s) (l')option(s) de traitement des
risques sur la vie privée choisie(s);
NOTE 1 Les organismes peuvent concevoir ces mesures, le cas échéant, ou bien les identifier à partir de
n'importe quelle source.
c) identifiant et documentant le programme de sécurité de l'information mis en œuvre par l'organisme, y
compris les mesures de sécurité appropriées;
Il convient que le programme de sécurité de l'information couvre au moins les aspects suivants:
— la gestion des risques liés à la sécurité de l'information;
— les politiques de sécurité de l'information;
— l’organisation de la sécurité de l'information;
— la sécurité des ressources humaines;
— la gestion d'actifs;
— les contrôles d'accès;
— la sécurité liée à l'exploitation;
— le management de la sécurité des réseaux;
— la sécurité du développement;
— la gestion des fournisseurs;
— la gestion des incidents;
— la continuité de la sécurité de l'information;
— la revue de la sécurité de l'information;
— la cryptographie; et
— la sécurité physique et environnementale.
NOTE 2 L'ISO/IEC 27002 fournit une liste des mesures de sécurité de l'information possibles. Si le programme
de sécurité de l'information est basé sur l'ISO/IEC 27001, l'ISO/IEC 27002 peut être consultée pour s'assurer
qu'aucune mesure de sécurité de l'information nécessaire n'a été négligée.
d) comparant les mesures déterminées ci-dessus en b) et en c) avec celles de l'Annexe A et en vérifiant
qu'aucune mesure nécessaire n'a été omise;
NOTE 3 L'Annexe A comporte une liste des mesures de protection de la vie privée possibles. L'Annexe A peut
être consultée pour s'assurer qu'aucune mesure de protection de la vie privée n'a été négligée.
© ISO/IEC 2025 – Tous droits réservés
NOTE 4 Les mesures de protection de la vie privée énumérées dans l'Annexe A ne sont pas exhaustives et des
mesures de protection de la vie privée additionnelles peuvent être incluses si nécessaire.
NOTE 5 Les organismes peuvent traiter de la sécurité de l’information et de la protection de la vie privée
de manière intégrée lorsqu'ils envisagent la sécurité du traitement des DCP, en combinant par exemple des
appréciations des risques de sécurité de l’information et des risques sur la vie privée, ou en tant qu'entités
distinctes avec des domaines qui se chevauchent.
e) produisant une déclaration d'applicabilité contenant:
— les mesures nécessaires [voir b), c) et d)];
— la justification de leur insertion;
— si les mesures de sécurité nécessaires sont mises en œuvre ou non; et
— la justification de l'exclusion de toute mesure de l'Annexe A.
Il n'est pas nécessaire d'inclure toutes les mesures énumérées à l'Annexe A. Par exemple, des mesures
peuvent être exclues si elles ne sont pas jugées nécessaires par l'appréciation des risques ou ne sont pas
couvertes par les (ou sont soumises à des exceptions en vertu des) exigences légales applicables, y compris
celles applicables à la personne concernée.
f) formulant un plan de traitement du risque sur la vie privée;
g) obtenant l'approbation des propriétaires des risques sur la vie privée du plan de traitement des risques
sur la vie privée, ainsi que leur acceptation des risques résiduels sur la vie privée; et
h) tenant compte des recommandations de l'Annexe B pour la mise en œuvre des mesures déterminées en
b) et c).
L'organisme doit conserver des informations documentées sur le processus de traitement des risques sur la
vie privée.
6.2 Objectifs de protection de la vie privée et planification pour les atteindre
L'organisme doit établir des objectifs de protection de la vie privée aux fonctions et niveaux pertinents.
Les objectifs de protection de la vie privée doivent:
a) être en cohérence avec la politique de protection de la vie privée (voir 5.2);
b) être mesurables (si possible);
c) tenir compte des exigences applicables;
d) être surveillés;
e) être communiqués;
f) être mis à jour comme approprié;
g) être tenus à jour sous la forme d'une information documentée.
Lorsque l'organisme planifie la façon d'atteindre ses objectifs de protection de la vie privée, il doit déterminer:
— ce qui sera fait;
— quelles ressources seront nécessaires;
— qui sera responsable;
— quand ce sera terminé; et
— comment les résultats seront évalués.
© ISO/IEC 2025 – Tous droits réservés
6.3 Planification des changements
Lorsque l'organisme détermine qu'il y a besoin d'apporter des changements au syst
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...