Javascript is required
logo-dastralogo-dastra

Mettre en place l'ISO 27701 en startup : retour d'expérience

Mettre en place l'ISO 27701 en startup : retour d'expérience
LeĂŻla Sayssa
LeĂŻla Sayssa
31 March 2025·11 minutes de lecture

Parce que les cordonniers sont souvent les plus mal chaussĂ©s, chez Dastra, on marche dans du sur-mesure !

Chez Dastra, la confidentialitĂ© et la sĂ©curitĂ© des donnĂ©es ont toujours Ă©tĂ© au cƓur de notre mission. Nous sommes donc fiers d’annoncer que Dastra est dĂ©sormais certifiĂ©e ISO 27701, une norme internationale qui atteste de notre conformitĂ© aux meilleures pratiques en matiĂšre de gestion de la protection des donnĂ©es personnelles.

En tant que plateforme spécialisée dans la gestion de la conformité RGPD, nous nous sommes retrouvés clients de notre propre outil. Découvrez notre feuille de route vers cette certification!

🔒ISO 27701 : c’est quoi ?

La norme ISO 27701 est une extension de l’ISO 27001 (qui certifie un systĂšme de management de la sĂ©curitĂ© de l’information), en ce qu’elle intĂšgre des exigences spĂ©cifiques Ă  la protection des donnĂ©es personnelles.

Plusieurs experts techniques et autoritĂ©s ont contribuĂ© Ă  la norme, telle que la CNIL dont le rĂŽle Ă©tait actif, l’AFNOR et le CEPD. Le but Ă©tant d’aligner les exigences de la norme avec plusieurs cadres rĂ©glementaires, non seulement la loi europĂ©enne (RGPD) mais aussi la loi californienne (CCPA) ou encore canadienne.

Cette norme à portée mondiale, représente l'état de l'art en protection de la vie privée. Pour en savoir plus, retrouvez les explications de la CNIL ici.

Obtenir cette certification signifie que Dastra a mis en place:

  • un systĂšme de management de la protection des donnĂ©es (PIMS - Privacy Information Management System) rĂ©pondant aux exigences les plus strictes en matiĂšre de confidentialitĂ© et de gouvernance des informations;
  • des mesures spĂ©cifiques aux traitements de donnĂ©es personnelles, en tenant compte de notre rĂŽle, le plus souvent de sous-traitant.

📍Pourquoi se lancer dans la certification ISO 27701 ?

Bien que Dastra propose dĂ©jĂ  une plateforme de conformitĂ© RGPD solide, l’équipe a choisi d’aller encore plus loin.

Dans une dĂ©marche volontaire, l’obtention de cette certification incarne une approche proactive, alignĂ©e sur les standards internationaux les plus exigeants en matiĂšre de protection des donnĂ©es personnelles — un vĂ©ritable gage de maturitĂ© organisationnelle et de rigueur opĂ©rationnelle.

ConcrĂštement, cela signifie :

  • Une gestion des donnĂ©es personnelles plus sĂ©curisĂ©e et transparente
  • Une conformitĂ© renforcĂ©e avec le RGPD et d’autres rĂ©glementations internationales
  • Une gouvernance efficace et des contrĂŽles rigoureux sur les traitements de donnĂ©es
  • Une amĂ©lioration continue de nos processus pour garantir la confidentialitĂ© et la sĂ©curitĂ© des informations

Nos clients peuvent ainsi compter sur un partenaire fiable et certifié pour les accompagner dans la gestion et la sécurisation de leurs propres données.

🧭 Accompagnement : faut-il se faire aider ?

La réponse est claire : tout dépend de votre structure et de la maturité de votre organisation sur ces sujets, notamment au niveau des connaissances des attentes ISO, et de gestion d'un audit.

CritĂšres Service
(Expert humain)
SaaS
(Logiciel)
Intermédiaire
(SaaS + Service)
Transparence sur la stratĂ©gie 👍 Moyenne Ă  bonne selon l’acteur ⚠ Faible : logique « boĂźte noire » du logiciel ✅ Totale : approche claire, expliquĂ©e, personnalisĂ©e
MaĂźtrise des preuves 👍 Moyenne, selon l'acteur ⚠ LimitĂ©e : dĂ©pend des rĂšgles du logiciel ✅ Forte : sĂ©lection manuelle, contextualisĂ©e
Gain de temps 👍 Important sur l’audit, moins sur la collecte ✅ TrĂšs fort pour la collecte ✅ ÉquilibrĂ© : rapide mais encadrĂ©
QualitĂ© de la certification ✅ Haute ⚠ DĂ©pend de l’utilisateur ✅ Haute (alignĂ©e Ă  l’humain + audit)
CoĂ»t ❗ Plus Ă©levĂ© ✅ Abordable 💾 IntermĂ©diaire
Niveau d’autonomie requis 👍 Faible : tout est guidĂ© ❗ Fort : tout dĂ©pend de l’utilisateur 👍 ModĂ©rĂ© : assistance disponible
AdaptĂ© aux PME sans ressource dĂ©diĂ©e ? ✅ Oui ⚠ RisquĂ© si l’équipe est non formĂ©e ✅ Oui, avec support


Nous avons fait le choix de l'approche intermédiaire, en collaboration avec notre partenaire Bastion, qui a grandement simplifié le processus.

Ce type d’accompagnement, bien que non obligatoire, s’avĂšre particuliĂšrement stratĂ©gique — notamment en l’absence d’expertise ISO en interne — pour plusieurs raisons clĂ©s qui sont les suivantes :

Les étapes clés de notre certification

đŸ§© Étape 1 : PrĂ©paration et gouvernance

Notre dĂ©marche a dĂ©butĂ© il y a deux ans, avec l’ambition d’obtenir simultanĂ©ment les certifications ISO 27001 et ISO 27701. DĂšs le dĂ©part, nous avons mis en place un comitĂ© de pilotage et dĂ©signĂ© un rĂ©fĂ©rent chargĂ© de la collecte et de la validation des preuves.

Un facteur clĂ© Ă  notre rĂ©ussite Ă©tait la mise en place d'une gouvernance transversale : des rĂ©unions rĂ©guliĂšres ont Ă©tĂ© instaurĂ©es, impliquant la direction, le DPO et les Ă©quipes stratĂ©giques. Ceci a permis d’assurer que la conformitĂ© n’était pas portĂ©e uniquement par les Ă©quipes tech ou juridique, mais bien par l’ensemble de l’entreprise.

Une fois la gouvernance cadrĂ©e, nous avons commencĂ© par analyser notre systĂšme existant pour mesurer l’adĂ©quation de nos pratiques avec les exigences de l’ISO 27701. Dastra avait dĂ©jĂ  une base solide grĂące Ă  son propre outil (registre des traitements, cartographies, politiques documentĂ©es), mais il manquait une approche centralisĂ©e de la preuve.

Il a donc fallu :

  • Identifier ce qui existe et dĂ©finir le pĂ©rimĂštre de la certification
  • ComplĂ©ter ce qui manque et analyser des Ă©carts
  • Structurer le tout pour le rendre audit-proof.

đŸ§© Étape 2 : Mise en place du SystĂšme de Management de la Protection de la Vie PrivĂ©e (PIMS)

Afin d’intĂ©grer les exigences de la norme, nous avons renforcĂ© nos politiques et procĂ©dures en matiĂšre de protection des donnĂ©es personnelles, notamment en :

✔ Cartographiant nos traitements de donnĂ©es personnelles.

✔ Structurant nos politiques de confidentialitĂ© et de gestion des droits des utilisateurs.

✔ Mettant en place des mesures de sĂ©curitĂ© adaptĂ©es pour garantir la confidentialitĂ© des informations.

A noter que l’auditeur ne s’intĂ©resse pas tant Ă  ce que vous faites qu’à ce que vous prouvez que vous faites: ce qui n’est pas documentĂ© n’existe pas. Il ne suffit pas de mettre en place une bonne pratique — encore faut-il en dĂ©montrer l’effectivitĂ©, de maniĂšre structurĂ©e et vĂ©rifiable.

Prenons un exemple concret :

  • Un simple scan de sĂ©curitĂ© ne constitue pas une preuve suffisante. Il faut pouvoir dĂ©montrer qu’une action a Ă©tĂ© entreprise en rĂ©ponse au scan (correctif, validation, mise en production), avec une capture d’écran ou une traçabilitĂ© associĂ©e.
  • Ou encore : la suppression automatique des donnĂ©es des clients Ă©tait techniquement opĂ©rationnelle chez Dastra, mais l’absence de formalisation explicite de la politique constituait un point d’amĂ©lioration identifiĂ©.

Les politiques indispensables au PIMS:

  • Politique de confidentialitĂ© : dĂ©finit comment les donnĂ©es personnelles sont collectĂ©es, utilisĂ©es, stockĂ©es et protĂ©gĂ©es.

  • Politique de conservation des donnĂ©es : prĂ©cise la durĂ©e de conservation des donnĂ©es selon leur type et leur finalitĂ©.

  • Politique de suppression des donnĂ©es : dĂ©crit les mĂ©thodes sĂ©curisĂ©es de suppression ou de destruction des donnĂ©es et documents.

  • Politique de classification des donnĂ©es : catĂ©gorise les donnĂ©es selon leur sensibilitĂ© pour adapter les niveaux de protection.

  • Politique de chiffrement : dĂ©finit les rĂšgles de chiffrement des donnĂ©es en stockage et en transmission.

  • Plan de communication en cas de changement de sous-traitant : encadre la notification des clients et partenaires en cas de modification des sous-traitants.

  • CGU/CGV : Ă©tablissent les conditions contractuelles entre l’entreprise et ses utilisateurs ou clients.

  • SystĂšme de management de la sĂ©curitĂ© de l’information (ISMS) Ă  jour : garantit que toutes les politiques sont formalisĂ©es, appliquĂ©es, mises Ă  jour et auditĂ©es rĂ©guliĂšrement.

đŸ§©Ă‰tape 3 : Audit interne, Ă©tape de prĂ© validation

Avant l’audit officiel, Dastra a rĂ©alisĂ© un audit interne avec son partenaire Bastion. Cela a permis de :

  • VĂ©rifier que toutes les exigences ISO 27001 + 27701 Ă©taient bien couvertes.
  • Identifier les Ă©ventuelles non-conformitĂ©s ou preuves rĂ©siduelles.
  • Mettre en Ɠuvre rapidement les ajustements nĂ©cessaires.

Ce test grandeur nature est une Ă©tape cruciale : il permet de corriger les derniers points faibles sans pression.

đŸ§© Étape 4 : Management Review

Le processus s’est conclu par une management review rĂ©unissant l’ensemble des parties prenantes – direction gĂ©nĂ©rale, responsable conformitĂ©, technique et produit. Cette rĂ©union finale a permis de :

  • De valider collectivement les derniĂšres preuves.
  • D’attester formellement que les objectifs de conformitĂ© ont Ă©tĂ© atteints.
  • Et dĂ©montrer Ă  l’auditeur une gouvernance engagĂ©e et pleinement consciente de ses responsabilitĂ©s.

đŸ§©Ă‰tape 5: Audit de certification par un organisme accrĂ©ditĂ©

Enfin, un auditeur indépendant a évalué notre conformité à la norme. Grùce aux efforts de nos équipes et à notre engagement continu pour la sécurité des données, nous avons obtenu la certification ISO 27701 avec succÚs.

L’équipe le reconnaĂźt : c'Ă©tait une dĂ©marche longue, mais structurante. MĂȘme pour une entreprise comme Dastra, spĂ©cialisĂ©e dans la conformitĂ©, il a fallu structurer, prouver, formaliser. Ce n’est pas la technologie seule qui permet la certification, mais la cohĂ©rence entre les outils, les pratiques et la gouvernance.

đŸ—ƒïžComment Dastra a simplifiĂ© la gestion des preuves?

Vous vous en doutez peut-ĂȘtre : avec Dastra, toutes ces Ă©tapes prĂ©cĂ©dentes sont possibles !

Dastra a fait la moitiĂ© du travail. GrĂące au registre, Ă  la cartographie des traitements et Ă  l’export des preuves, une grande partie des Ă©lĂ©ments attendus Ă©taient dĂ©jĂ  centralisĂ©s dans l’outil.

Durant le processus d’obtention de la certification ISO 27701, nous sommes devenus clients de notre outil qui Ă©tait indispensable pour faire face Ă  la charge complexe que sont les exigences de la norme.

Etape 1 : Avoir une Cartographie des donnĂ©es Ă  jour

  • RĂ©pertorier les donnĂ©es personnelles de l’entreprise
  • RĂ©pertorier les actifs de l’entreprise qui traitent ces donnĂ©es
  • Lier ces actifs aux acteurs sous-traitants
  • Renseigner la localisation de ces sous-traitants
  • RĂ©coltez les documents de sĂ©curitĂ©, politiques de gestion des donnĂ©es et les SLA de vos sous-traitants dans le module contrat en les liants Ă  vos acteurs

Etape 2 : Avoir un registre des traitements Ă  jour

Etape 3 : Exporter un Rapport personnalisĂ©

  • Il ne vous reste plus qu’a exporter le rapport « acteurs et jeux de donnĂ©es Â» pour avoir vos sous-traitants, leur localisation et les jeux de donnĂ©es auxquelles ils ont accĂšs

Etape 4 : RĂ©colter les consentements Cookie

  • Mettre en place sa politique de cookie
  • Mettre en place le widget de consentement sur votre site Web

Etape 5 : GĂ©rer les demandes d’exercice des droits

✅ Ce que Dastra retient de l’expĂ©rience

  • La certification ISO 27701 permet de renforcer la culture de la preuve, mĂȘme pour une entreprise dĂ©jĂ  experte en conformitĂ©.
  • Elle oblige Ă  formaliser ce qui est souvent implicite, notamment en matiĂšre de sĂ©curitĂ© et de politique de confidentialitĂ©.
  • Elle permet de fĂ©dĂ©rer les Ă©quipes autour d’une dĂ©marche commune, avec une vision claire des responsabilitĂ©s.
  • Elle tĂ©moigne d’un engagement concret en faveur de la sĂ©curitĂ© et de la vie privĂ©e.

🎯 En rĂ©sumĂ© : La certification ISO 27701 est bien plus qu’un label. C’est une dĂ©marche de fond, qui nous pousse en tant que plateforme spĂ©cialisĂ©e dans la gestion de la conformitĂ© RGPD, Ă  appliquer Ă  nous-mĂȘmes les plus hauts standards en matiĂšre de sĂ©curitĂ© et de confidentialitĂ©.

Nos clients peuvent ainsi compter sur un partenaire fiable et certifié pour les accompagner dans la gestion et la sécurisation de leurs propres données.

Souhaitez-vous ĂȘtre accompagnĂ© pour une dĂ©marche ISO 27701 ?
Dastra propose une plateforme qui vous aidera Ă  centraliser vos preuves, structurer vos politiques et documenter vos pratiques. Mais surtout : c’est un outil conçu par une Ă©quipe qui est passĂ©e par lĂ .


A propos de l'auteur
Inscrivez-vous Ă  notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.