Mettre en place l'ISO 27701 en startup : retour d'expérience

Parce que les cordonniers sont souvent les plus mal chaussés, chez Dastra, on marche dans du sur-mesure !

Chez Dastra, la confidentialité et la sécurité des données ont toujours été au cœur de notre mission. Nous sommes donc fiers d’annoncer que Dastra est désormais certifiée ISO 27701, une norme internationale qui atteste de notre conformité aux meilleures pratiques en matière de gestion de la protection des données personnelles.

En tant que plateforme spécialisée dans la gestion de la conformité RGPD, nous nous sommes retrouvés clients de notre propre outil. Découvrez notre feuille de route vers cette certification!

🔒ISO 27701 : c’est quoi ?

La norme ISO 27701 est une extension de l’ISO 27001 (qui certifie un système de management de la sécurité de l’information), en ce qu’elle intègre des exigences spécifiques à la protection des données personnelles.

Plusieurs experts techniques et autorités ont contribué à la norme, telle que la CNIL dont le rôle était actif, l’AFNOR et le CEPD. Le but étant d’aligner les exigences de la norme avec plusieurs cadres réglementaires, non seulement la loi européenne (RGPD) mais aussi la loi californienne (CCPA) ou encore canadienne.

Cette norme à portée mondiale, représente l'état de l'art en protection de la vie privée. Pour en savoir plus, retrouvez les explications de la CNIL ici.

Obtenir cette certification signifie que Dastra a mis en place:

• un système de management de la protection des données (PIMS - Privacy Information Management System) répondant aux exigences les plus strictes en matière de confidentialité et de gouvernance des informations;
• des mesures spécifiques aux traitements de données personnelles, en tenant compte de notre rôle, le plus souvent de sous-traitant.

📍Pourquoi se lancer dans la certification ISO 27701 ?

Bien que Dastra propose déjà une plateforme de conformité RGPD solide, l’équipe a choisi d’aller encore plus loin.

Dans une démarche volontaire, l’obtention de cette certification incarne une approche proactive, alignée sur les standards internationaux les plus exigeants en matière de protection des données personnelles — un véritable gage de maturité organisationnelle et de rigueur opérationnelle.

Concrètement, cela signifie :

• Une gestion des données personnelles plus sécurisée et transparente
• Une conformité renforcée avec le RGPD et d’autres réglementations internationales
• Une gouvernance efficace et des contrôles rigoureux sur les traitements de données
• Une amélioration continue de nos processus pour garantir la confidentialité et la sécurité des informations

Nos clients peuvent ainsi compter sur un partenaire fiable et certifié pour les accompagner dans la gestion et la sécurisation de leurs propres données.

🧭 Accompagnement : faut-il se faire aider ?

La réponse est claire : tout dépend de votre structure et de la maturité de votre organisation sur ces sujets, notamment au niveau des connaissances des attentes ISO, et de gestion d'un audit.

Critères	Service (Expert humain)	SaaS (Logiciel)	Intermédiaire (SaaS + Service)
Transparence sur la stratégie	👍 Moyenne à bonne selon l’acteur	⚠️ Faible : logique « boîte noire » du logiciel	✅ Totale : approche claire, expliquée, personnalisée
Maîtrise des preuves	👍 Moyenne, selon l'acteur	⚠️ Limitée : dépend des règles du logiciel	✅ Forte : sélection manuelle, contextualisée
Gain de temps	👍 Important sur l’audit, moins sur la collecte	✅ Très fort pour la collecte	✅ Équilibré : rapide mais encadré
Qualité de la certification	✅ Haute	⚠️ Dépend de l’utilisateur	✅ Haute (alignée à l’humain + audit)
Coût	❗️ Plus élevé	✅ Abordable	💸 Intermédiaire
Niveau d’autonomie requis	👍 Faible : tout est guidé	❗️ Fort : tout dépend de l’utilisateur	👍 Modéré : assistance disponible
Adapté aux PME sans ressource dédiée ?	✅ Oui	⚠️ Risqué si l’équipe est non formée	✅ Oui, avec support

Nous avons fait le choix de l'approche intermédiaire, en collaboration avec notre partenaire Bastion, qui a grandement simplifié le processus.

Ce type d’accompagnement, bien que non obligatoire, s’avère particulièrement stratégique — notamment en l’absence d’expertise ISO en interne — pour plusieurs raisons clés qui sont les suivantes :

Les étapes clés de notre certification

🧩 Étape 1 : Préparation et gouvernance

Notre démarche a débuté il y a deux ans, avec l’ambition d’obtenir simultanément les certifications ISO 27001 et ISO 27701. Dès le départ, nous avons mis en place un comité de pilotage et désigné un référent chargé de la collecte et de la validation des preuves.

Un facteur clé à notre réussite était la mise en place d'une gouvernance transversale : des réunions régulières ont été instaurées, impliquant la direction, le DPO et les équipes stratégiques. Ceci a permis d’assurer que la conformité n’était pas portée uniquement par les équipes tech ou juridique, mais bien par l’ensemble de l’entreprise.

Une fois la gouvernance cadrée, nous avons commencé par analyser notre système existant pour mesurer l’adéquation de nos pratiques avec les exigences de l’ISO 27701. Dastra avait déjà une base solide grâce à son propre outil (registre des traitements, cartographies, politiques documentées), mais il manquait une approche centralisée de la preuve.

Il a donc fallu :

• Identifier ce qui existe et définir le périmètre de la certification
• Compléter ce qui manque et analyser des écarts
• Structurer le tout pour le rendre audit-proof.

🧩 Étape 2 : Mise en place du Système de Management de la Protection de la Vie Privée (PIMS)

Afin d’intégrer les exigences de la norme, nous avons renforcé nos politiques et procédures en matière de protection des données personnelles, notamment en :

✔ Cartographiant nos traitements de données personnelles.

✔ Structurant nos politiques de confidentialité et de gestion des droits des utilisateurs.

✔ Mettant en place des mesures de sécurité adaptées pour garantir la confidentialité des informations.

A noter que l’auditeur ne s’intéresse pas tant à ce que vous faites qu’à ce que vous prouvez que vous faites: ce qui n’est pas documenté n’existe pas. Il ne suffit pas de mettre en place une bonne pratique — encore faut-il en démontrer l’effectivité, de manière structurée et vérifiable.

Prenons un exemple concret :

• Un simple scan de sécurité ne constitue pas une preuve suffisante. Il faut pouvoir démontrer qu’une action a été entreprise en réponse au scan (correctif, validation, mise en production), avec une capture d’écran ou une traçabilité associée.
• Ou encore : la suppression automatique des données des clients était techniquement opérationnelle chez Dastra, mais l’absence de formalisation explicite de la politique constituait un point d’amélioration identifié.

Les politiques indispensables au PIMS:

• Politique de confidentialité : définit comment les données personnelles sont collectées, utilisées, stockées et protégées.

• Politique de conservation des données : précise la durée de conservation des données selon leur type et leur finalité.

• Politique de suppression des données : décrit les méthodes sécurisées de suppression ou de destruction des données et documents.

• Politique de classification des données : catégorise les données selon leur sensibilité pour adapter les niveaux de protection.

• Politique de chiffrement : définit les règles de chiffrement des données en stockage et en transmission.

• Plan de communication en cas de changement de sous-traitant : encadre la notification des clients et partenaires en cas de modification des sous-traitants.

• CGU/CGV : établissent les conditions contractuelles entre l’entreprise et ses utilisateurs ou clients.

• Système de management de la sécurité de l’information (ISMS) à jour : garantit que toutes les politiques sont formalisées, appliquées, mises à jour et auditées régulièrement.

🧩Étape 3 : Audit interne, étape de pré validation

Avant l’audit officiel, Dastra a réalisé un audit interne avec son partenaire Bastion. Cela a permis de :

• Vérifier que toutes les exigences ISO 27001 + 27701 étaient bien couvertes.
• Identifier les éventuelles non-conformités ou preuves résiduelles.
• Mettre en œuvre rapidement les ajustements nécessaires.

Ce test grandeur nature est une étape cruciale : il permet de corriger les derniers points faibles sans pression.

🧩 Étape 4 : Management Review

Le processus s’est conclu par une management review réunissant l’ensemble des parties prenantes – direction générale, responsable conformité, technique et produit. Cette réunion finale a permis de :

• De valider collectivement les dernières preuves.
• D’attester formellement que les objectifs de conformité ont été atteints.
• Et démontrer à l’auditeur une gouvernance engagée et pleinement consciente de ses responsabilités.

🧩Étape 5: Audit de certification par un organisme accrédité

Enfin, un auditeur indépendant a évalué notre conformité à la norme. Grâce aux efforts de nos équipes et à notre engagement continu pour la sécurité des données, nous avons obtenu la certification ISO 27701 avec succès.

L’équipe le reconnaît : c'était une démarche longue, mais structurante. Même pour une entreprise comme Dastra, spécialisée dans la conformité, il a fallu structurer, prouver, formaliser. Ce n’est pas la technologie seule qui permet la certification, mais la cohérence entre les outils, les pratiques et la gouvernance.

🗃️Comment Dastra a simplifié la gestion des preuves?

Vous vous en doutez peut-être : avec Dastra, toutes ces étapes précédentes sont possibles !

Dastra a fait la moitié du travail. Grâce au registre, à la cartographie des traitements et à l’export des preuves, une grande partie des éléments attendus étaient déjà centralisés dans l’outil.

Durant le processus d’obtention de la certification ISO 27701, nous sommes devenus clients de notre outil qui était indispensable pour faire face à la charge complexe que sont les exigences de la norme.

Etape 1 : Avoir une Cartographie des données à jour

• Répertorier les données personnelles de l’entreprise
• Répertorier les actifs de l’entreprise qui traitent ces données
• Lier ces actifs aux acteurs sous-traitants
• Renseigner la localisation de ces sous-traitants
• Récoltez les documents de sécurité, politiques de gestion des données et les SLA de vos sous-traitants dans le module contrat en les liants à vos acteurs

Etape 2 : Avoir un registre des traitements à jour

• Répertorier les traitements de données de l’entreprise
• Réaliser automatiquement un PIA pour vos traitements à risque depuis le module Questionnaire (template PIA)
• Générer automatiquement vos DPA

Etape 3 : Exporter un Rapport personnalisé

• Il ne vous reste plus qu’a exporter le rapport « acteurs et jeux de données » pour avoir vos sous-traitants, leur localisation et les jeux de données auxquelles ils ont accès

Etape 4 : Récolter les consentements Cookie

• Mettre en place sa politique de cookie
• Mettre en place le widget de consentement sur votre site Web

Etape 5 : Gérer les demandes d’exercice des droits

• Mettre en place votre Privacy hub Dastra !

✅ Ce que Dastra retient de l’expérience

• La certification ISO 27701 permet de renforcer la culture de la preuve, même pour une entreprise déjà experte en conformité.
• Elle oblige à formaliser ce qui est souvent implicite, notamment en matière de sécurité et de politique de confidentialité.
• Elle permet de fédérer les équipes autour d’une démarche commune, avec une vision claire des responsabilités.
• Elle témoigne d’un engagement concret en faveur de la sécurité et de la vie privée.

🎯 En résumé : La certification ISO 27701 est bien plus qu’un label. C’est une démarche de fond, qui nous pousse en tant que plateforme spécialisée dans la gestion de la conformité RGPD, à appliquer à nous-mêmes les plus hauts standards en matière de sécurité et de confidentialité.

Nos clients peuvent ainsi compter sur un partenaire fiable et certifié pour les accompagner dans la gestion et la sécurisation de leurs propres données.

Souhaitez-vous être accompagné pour une démarche ISO 27701 ?
Dastra propose une plateforme qui vous aidera à centraliser vos preuves, structurer vos politiques et documenter vos pratiques. Mais surtout : c’est un outil conçu par une équipe qui est passée par là.