Conformité

RGPD vs ISO 27001 : articulation pratique pour SaaS B2B

RGPD et ISO 27001 sont souvent confondus dans les DDQ enterprise. L'un protège les données personnelles, l'autre formalise un système de management de la sécurité. Voici comment les articuler en 2026.

8 min

RGPD et ISO 27001 sont les deux référentiels les plus cités dans les DDQ enterprise européennes. Du coup, on les confond. En vrai, ils ne traitent pas le même périmètre.

Voici l'articulation pratique pour un SaaS B2B européen en 2026.

Ce que chaque référentiel couvre

RGPD (UE 2016/679) est un règlement européen contraignant qui protège les données personnelles des résidents UE. Application depuis mai 2018. Sanctions jusqu'à 20 M€ ou 4% du CA mondial. Couvre : finalité du traitement, base légale, minimisation, droits des personnes (accès, rectification, effacement, portabilité), AIPD pour les traitements à risque, transferts internationaux, notification de violation 72h CNIL.

ISO/IEC 27001:2022 est une norme internationale volontaire. Certification valable 3 ans. Couvre : système de management de la sécurité de l'information (ISMS), 93 contrôles dans l'Annexe A 2022. Périmètre = la sécurité de l'information dans l'organisation, indépendamment du type de données.

Différence fondamentale : RGPD = obligation légale sur les données personnelles. ISO 27001 = certification volontaire sur la sécurité de l'information en général.

Les zones de recouvrement

L'Article 32 RGPD (sécurité du traitement) impose des mesures techniques et organisationnelles appropriées. Il ne dit pas comment, juste que ça doit être proportionné au risque. ISO 27001 fournit précisément ce "comment" — d'où l'articulation naturelle.

ISO 27001 couvre environ 50-60% du RGPD côté technique :

  • Article 5(1)(f) RGPD (intégrité, confidentialité) → Annexe A.5.1, A.8.24, A.8.30
  • Article 25 (privacy by design) → A.8.25 (secure development)
  • Article 32 (sécurité du traitement) → A.5.10, A.8.5, A.8.24
  • Article 33-34 (notification incident) → A.5.24-A.5.27 (gestion des incidents)
  • Article 35 (AIPD) → A.5.5 (contact autorités), A.8.16 (monitoring)

Ce que ISO 27001 ne couvre PAS dans le RGPD

ISO 27001 reste silencieuse sur les obligations RGPD spécifiques :

  • Base légale du traitement (Article 6 RGPD).
  • Information des personnes (Articles 13-14).
  • Droits des personnes : accès, rectification, effacement, portabilité, opposition (Articles 15-22).
  • Registre des activités de traitement (Article 30).
  • AIPD spécifiquement RGPD (Article 35).
  • Transferts internationaux post-Schrems II (Articles 44-50).
  • Désignation DPO si applicable (Article 37).

Du coup, ISO 27001 ne dispense pas de la conformité RGPD. Elle facilite le volet technique.

Stratégie pour un SaaS B2B européen

Trois profils typiques :

Profil 1 : SaaS B2B européen avec données personnelles courantes (CRM, RH, marketing)

  • ISO 27001 d'abord (9-12 mois) — foundation ISMS
  • Mise en conformité RGPD opérationnelle en parallèle (registre, AIPD, droits, transferts)
  • DPO référent interne (nominal RGPD ou délégué)
  • Coût combiné : 100-200 K€ sur 12-18 mois

Profil 2 : SaaS B2B avec données sensibles (santé, biométrique, judiciaire)

  • AIPD obligatoire (Article 35 RGPD)
  • DPO obligatoire (Article 37)
  • Si santé en France : HDS (Hébergeur de Données de Santé) — voir notre page healthtech
  • ISO 27001 + RGPD + secteur (HDS, MDR, etc.)
  • Coût combiné : 200-400 K€ sur 18 mois

Profil 3 : SaaS B2B AI-native traitant des données personnelles

  • RGPD + AI Act + ISO 27001 + ISO 42001
  • AIPD spécifiquement RGPD ET AI Impact Assessment AI Act
  • AI Act haut risque (Annexe III) si scoring crédit, RH, biométrie, etc.
  • Coût combiné : 250-500 K€ sur 18-24 mois

Erreurs classiques en DDQ enterprise

Trois erreurs récurrentes que je vois en mission :

1. "On a ISO 27001, donc on est RGPD-compliant". Faux. ISO 27001 couvre 50-60% des aspects techniques RGPD mais ne touche pas aux droits des personnes, à la finalité, ni au registre. Réponse honnête en DDQ : "ISO 27001 certifié pour la sécurité de l'information ; conformité RGPD documentée par registre Article 30, AIPD pour les traitements à risque, et procédures dédiées aux droits des personnes".

2. "On a un DPO, donc RGPD réglé". Faux. Un DPO contrôle, conseille, fait l'interface CNIL — il n'opère pas la conformité. Le responsable de traitement (le dirigeant) reste accountable. Le DPO doit être intégré dans la gouvernance, pas un alibi documentaire.

3. "Nos sous-traitants sont conformes, donc on est protégé". Faux. Article 28 RGPD impose un encadrement contractuel (DPA signés), des audits, une responsabilité solidaire en cas de violation. Avoir AWS comme sous-traitant ne suffit pas — il faut le DPA signé, à jour, et une documentation des transferts internationaux.

Vérifier sa conformité — les 5 documents critiques

Pour un audit DDQ enterprise sérieux, ces 5 documents sont systématiquement demandés :

  1. Politique de protection des données personnelles (publique, sur le site).
  2. Registre des activités de traitement (Article 30) — interne, à jour.
  3. AIPD pour chaque traitement à risque (santé, profilage grande échelle).
  4. DPA (Data Processing Agreement) signés avec tous les sous-traitants critiques.
  5. Procédures documentées pour chaque droit des personnes (réponse <30 jours).

Si l'un de ces documents manque, le score DDQ chute mécaniquement — quelle que soit la qualité d'ISO 27001.

Questions fréquentes

ISO 27001 dispense-t-elle de la conformité RGPD ?

Non. ISO 27001 couvre 50-60% du RGPD côté technique (Article 32 — sécurité du traitement) mais ne touche pas à la finalité, la base légale, le registre Article 30, les droits des personnes, les transferts internationaux, ni la désignation DPO. ISO 27001 facilite, ne dispense pas.

Quels documents RGPD sont attendus en DDQ enterprise ?

5 documents critiques : (1) politique de protection des données publique ; (2) registre des activités de traitement Article 30 interne à jour ; (3) AIPD pour chaque traitement à risque ; (4) DPA signés avec tous les sous-traitants critiques ; (5) procédures documentées pour chaque droit des personnes (réponse <30 jours).

Mon SaaS B2B doit-il avoir un DPO ?

Le DPO est obligatoire dans 3 cas (Article 37 RGPD) : autorité publique, traitement à grande échelle de données sensibles, suivi régulier et systématique à grande échelle. Hors ces cas, un référent RGPD interne suffit. Pour un SaaS B2B classique, DPO non obligatoire mais souvent recommandé.

Comment gérer les transferts internationaux post-Schrems II ?

Trois mécanismes : (1) adequacy decision pays (US sous Data Privacy Framework, UK, Suisse) ; (2) Clauses contractuelles types (CCT) avec analyse de transfert (TIA) ; (3) Règles d'entreprise contraignantes (BCR). Pour transferts vers cloud US, CCT + TIA + chiffrement côté client souvent nécessaires.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ConformitéISO 27001 SaaS B2B : roadmap ConformitéISO 42001 vs ISO 27001 ConformitéNIST AI RMF startup

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt