[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fSlMk5cTjVhv9MB-BvuvnI_0YbEJBD3HVYX_kMqjea1I":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":11,"nbDownloads":12,"excerpt":13,"lang":14,"url":15,"intro":16,"featured":4,"state":17,"author":18,"authorId":19,"datePublication":23,"dateCreation":24,"dateUpdate":25,"mainCategory":26,"categories":41,"metaDatas":90,"imageUrl":91,"imageThumbUrls":92,"id":100},false,"Parce que les cordonniers sont souvent les plus mal chaussés, chez Dastra, on marche dans du sur-mesure !\r\n\r\nChez Dastra, la confidentialité et la sécurité des données ont toujours été au cœur de notre mission. Nous sommes donc fiers d’annoncer que Dastra est désormais [certifiée ISO 27701, une norme internationale](https://www.cnil.fr/fr/liso-27701-une-norme-internationale-pour-la-protection-des-donnees-personnelles) qui atteste de notre conformité aux meilleures pratiques en matière de gestion de la protection des données personnelles.\r\n\r\nEn tant que plateforme spécialisée dans la gestion de la conformité RGPD, nous nous sommes retrouvés clients de notre propre outil. Découvrez notre feuille de route vers cette certification!\r\n\r\n## 🔒ISO 27701 : c’est quoi ?\r\n\r\nLa **norme ISO 27701** est une extension de l’ISO 27001 (qui certifie un système de management de la sécurité de l’information), en ce qu’elle intègre des exigences spécifiques à la protection des données personnelles.\r\n\r\nPlusieurs experts techniques et autorités ont contribué à la norme, telle que la CNIL dont le rôle était actif, l’AFNOR et le CEPD. Le but étant d’aligner les exigences de la norme avec **plusieurs cadres réglementaires,** non seulement la loi européenne (RGPD) mais aussi la loi californienne (CCPA) ou encore canadienne. \r\n\r\nCette norme à portée mondiale, représente l'état de l'art en protection de la vie privée. Pour en savoir plus, retrouvez les explications de la CNIL[ ici](https://www.cnil.fr/fr/liso-27701-une-norme-internationale-pour-la-protection-des-donnees-personnelles). \r\n\r\nObtenir cette certification signifie que Dastra a mis en place:\r\n\r\n- un système de management de la protection des données (**PIMS - Privacy Information Management System**) répondant aux exigences les plus strictes en matière de confidentialité et de gouvernance des informations;\r\n- des mesures spécifiques aux traitements de données personnelles, en tenant compte de notre rôle, le plus souvent de sous-traitant.\r\n\r\n## 📍Pourquoi se lancer dans la certification ISO 27701 ?\r\n\r\nBien que Dastra propose déjà une plateforme de [conformité RGPD](https://www.dastra.eu/fr/article/quest-ce-que-le-rgpd/57032) solide, l’équipe a choisi d’aller encore plus loin.Dans une **démarche volontaire,** l’obtention de cette certification incarne une approche proactive, alignée sur les standards internationaux les plus exigeants en matière de protection des données personnelles — un véritable gage de maturité organisationnelle et de rigueur opérationnelle.\r\n\r\nConcrètement, cela signifie :\r\n\r\n- Une gestion des données personnelles plus sécurisée et transparente\r\n- Une conformité renforcée avec le RGPD et d’autres réglementations internationales\r\n- Une gouvernance efficace et des contrôles rigoureux sur les traitements de données\r\n- Une amélioration continue de nos processus pour garantir la confidentialité et la sécurité des informations\r\n\r\nNos clients peuvent ainsi compter sur un **partenaire fiable et certifié** pour les accompagner dans la gestion et la sécurisation de leurs propres données.\r\n\r\n## 🧭 Accompagnement : faut-il se faire aider ?\r\n\r\nLa réponse est claire : tout dépend de votre structure et de la maturité de votre organisation sur ces sujets, notamment au niveau des connaissances des attentes ISO, et de gestion d'un audit.\r\n\r\n| **Critères** | **Service** \u003Cbr>**(Expert humain)** | **SaaS** \u003Cbr>**(Logiciel)** | **Intermédiaire** \u003Cbr>**(SaaS + Service)** |\r\n| --- | --- | --- | --- |\r\n| **Transparence sur la stratégie** | 👍 Moyenne à bonne selon l’acteur | ⚠️ Faible : logique « boîte noire » du logiciel | ✅ Totale : approche claire, expliquée, personnalisée |\r\n| **Maîtrise des preuves** | 👍 Moyenne, selon l'acteur | ⚠️ Limitée : dépend des règles du logiciel | ✅ Forte : sélection manuelle, contextualisée |\r\n| **Gain de temps** | 👍 Important sur l’audit, moins sur la collecte | ✅ Très fort pour la collecte | ✅ Équilibré : rapide mais encadré |\r\n| **Qualité de la certification** | ✅ Haute | ⚠️ Dépend de l’utilisateur | ✅ Haute (alignée à l’humain + audit) |\r\n| **Coût** | ❗️ Plus élevé | ✅ Abordable | 💸 Intermédiaire |\r\n| **Niveau d’autonomie requis** | 👍 Faible : tout est guidé | ❗️ Fort : tout dépend de l’utilisateur | 👍 Modéré : assistance disponible |\r\n| **Adapté aux PME sans ressource dédiée ?** | ✅ Oui | ⚠️ Risqué si l’équipe est non formée | ✅ Oui, avec support |\r\n\r\nNous avons fait le choix de **l'approche intermédiaire**, en collaboration avec [notre partenaire Bastion](https://www.bastion.tech), qui a grandement simplifié le processus.Ce type d’accompagnement, bien que non obligatoire, s’avère **particulièrement stratégique** — notamment en l’absence d’expertise ISO en interne — pour plusieurs raisons clés qui sont les suivantes :\r\n\r\n~~![](https://static.dastra.eu/richtext/1c821d57-5f28-4b7e-a564-8d51d0837126/des-politiques-de-protection-des-donnees-article-24-rgpd-avec-dastra-creez-vos-original.jpg)~~\r\n\r\n## **Les étapes clés de notre certification**\r\n\r\n![](https://static.dastra.eu/richtext/4d7e25ce-ed66-4b38-b7a3-de7eee5a2de0/preparation-en-amont-4-original.jpg)\r\n\r\n### 🧩 Étape 1 : Préparation et gouvernance\r\n\r\nNotre démarche a débuté il y a deux ans, avec l’ambition d’obtenir simultanément les [certifications ISO 27001 et ISO 27701](https://www.dastra.eu/fr/article/dastra-certifie-iso-27001-27701-securite-et-conformite-renforcees/58959). Dès le départ, nous avons mis en place un **comité de pilotage** et désigné un référent chargé de la collecte et de la validation des preuves.\r\n\r\nUn facteur clé à notre réussite était la mise en place d'une gouvernance transversale : des **réunions régulières** ont été instaurées, impliquant la direction, le DPO et les équipes stratégiques. Ceci a permis d’assurer que la conformité n’était pas portée uniquement par les équipes tech ou juridique, mais bien par l’ensemble de l’entreprise.\r\n\r\nUne fois la gouvernance cadrée, nous avons commencé par analyser notre système existant pour mesurer l’adéquation de nos pratiques avec les exigences de l’ISO 27701. Dastra avait déjà une base solide grâce à son propre outil (registre des traitements, cartographies, politiques documentées), mais il manquait une approche **centralisée de la preuve.**\r\n\r\nIl a donc fallu :\r\n\r\n- Identifier ce qui existe et définir le périmètre de la certification\r\n- Compléter ce qui manque et analyser des écarts\r\n- Structurer le tout pour le rendre audit-proof.\r\n\r\n### 🧩 Étape 2 : Mise en place du Système de Management de la Protection de la Vie Privée (PIMS)\r\n\r\n![](https://static.dastra.eu/richtext/c7b628b5-e9b1-40e8-befc-70296b4dc10a/preparation-en-amont-8-original.jpg)Afin d’intégrer les exigences de la norme, nous avons renforcé nos politiques et procédures en matière de protection des données personnelles, notamment en :\r\n\r\n✔ Cartographiant nos traitements de données personnelles.\r\n\r\n✔ Structurant nos politiques de confidentialité et de gestion des droits des utilisateurs.\r\n\r\n✔ Mettant en place des mesures de sécurité adaptées pour garantir la confidentialité des informations.\r\n\r\nA noter que l’auditeur ne s’intéresse pas tant à ce que vous faites qu’à ce que vous prouvez que vous faites: **ce qui n’est pas documenté n’existe pas**. Il ne suffit pas de mettre en place une bonne pratique — encore faut-il en démontrer l’effectivité, de manière structurée et vérifiable.\r\n\r\nPrenons un exemple concret :\r\n\r\n- *Un simple scan de sécurité ne constitue pas une preuve suffisante. Il faut pouvoir démontrer qu’une action a été entreprise en réponse au scan (correctif, validation, mise en production), avec une capture d’écran ou une traçabilité associée.*\r\n- *Ou encore : la suppression automatique des données des clients était techniquement opérationnelle chez Dastra, mais l’absence de formalisation explicite de la politique constituait un point d’amélioration identifié.*\r\n\r\n![](https://static.dastra.eu/richtext/d6e6aa5e-52b1-4b74-ac7c-a0a5958e5472/preparation-en-amont-9-original.jpg)**Les politiques indispensables au PIMS:**\r\n\r\n- **Politique de confidentialité** : définit comment les données personnelles sont collectées, utilisées, stockées et protégées.\r\n\r\n- **Politique de conservation des données** : précise la durée de conservation des données selon leur type et leur finalité.\r\n\r\n- **Politique de suppression des données** : décrit les méthodes sécurisées de suppression ou de destruction des données et documents.\r\n\r\n- **Politique de classification des données** : catégorise les données selon leur sensibilité pour adapter les niveaux de protection.\r\n\r\n- **Politique de chiffrement** : définit les règles de chiffrement des données en stockage et en transmission.\r\n\r\n- **Plan de communication en cas de changement de sous-traitant** : encadre la notification des clients et partenaires en cas de modification des sous-traitants.\r\n\r\n- **CGU/CGV** : établissent les conditions contractuelles entre l’entreprise et ses utilisateurs ou clients.\r\n\r\n- **Système de management de la sécurité de l’information (ISMS) à jour** : garantit que toutes les politiques sont formalisées, appliquées, mises à jour et auditées régulièrement.\r\n\r\n### 🧩Étape 3 : Audit interne, étape de pré validation\r\n\r\nAvant l’audit officiel, Dastra a réalisé un **audit interne** avec son partenaire **Bastion**. Cela a permis de :\r\n\r\n- Vérifier que **toutes les exigences ISO 27001 + 27701** étaient bien couvertes.\r\n- Identifier les éventuelles **non-conformités ou preuves résiduelles**.\r\n- **Mettre en œuvre rapidement** les ajustements nécessaires.\r\n\r\nCe test grandeur nature est une étape cruciale : il permet de corriger les derniers points faibles **sans pression**.\r\n\r\n### 🧩 Étape 4 : Management Review\r\n\r\nLe processus s’est conclu par une **management review** réunissant l’ensemble des parties prenantes – direction générale, responsable conformité, technique et produit. Cette réunion finale a permis de :\r\n\r\n- De **valider collectivement** les dernières preuves.\r\n- D’**attester formellement** que les objectifs de conformité ont été atteints.\r\n- Et démontrer à l’auditeur une **gouvernance engagée et pleinement consciente de ses responsabilités**.\r\n\r\n### 🧩Étape 5: Audit de certification par un organisme accrédité\r\n\r\nEnfin, un auditeur indépendant a évalué notre conformité à la norme. Grâce aux efforts de nos équipes et à notre engagement continu pour la sécurité des données, nous avons obtenu la certification ISO 27701 avec succès.\r\n\r\nL’équipe le reconnaît : c'était **une démarche longue, mais structurante.** Même pour une entreprise comme Dastra, spécialisée dans la conformité, il a fallu structurer, prouver, formaliser. Ce n’est pas la technologie seule qui permet la certification, mais **la cohérence entre les outils, les pratiques et la gouvernance**.\r\n\r\n## **🗃️Comment Dastra a simplifié la gestion des preuves?**\r\n\r\nVous vous en doutez peut-être : avec Dastra, toutes ces étapes précédentes sont possibles !\r\n\r\n**Dastra a fait la moitié du travail.** Grâce au registre, à la cartographie des traitements et à l’export des preuves, une grande partie des éléments attendus étaient déjà centralisés dans l’outil.\r\n\r\nDurant le processus d’obtention de la **certification ISO 27701**, nous sommes devenus clients de notre outil qui était indispensable pour faire face à la charge complexe que sont les exigences de la norme.\r\n\r\n**Etape 1 : Avoir une Cartographie des données à jour**\r\n\r\n- Répertorier les données personnelles de l’entreprise\r\n- Répertorier les actifs de l’entreprise qui traitent ces données\r\n- Lier ces actifs aux acteurs sous-traitants\r\n- Renseigner la localisation de ces sous-traitants\r\n- Récoltez les documents de sécurité, politiques de gestion des données et les SLA de vos sous-traitants dans le module contrat en les liants à vos acteurs\r\n\r\n**Etape 2 : Avoir un registre des traitements à jour**\r\n\r\n- Répertorier les traitements de données de l’entreprise\r\n- [Réaliser automatiquement un PIA](https://www.dastra.eu/fr/guide/analyse-dimpact-sur-la-protection-des-donnees-aipd-pia/51407) pour vos traitements à risque depuis le module Questionnaire (template PIA)\r\n- [Générer automatiquement vos DPA](https://www.dastra.eu/fr/guide/data-processing-agreement/53959)\r\n\r\n**Etape 3 : Exporter un Rapport personnalisé**\r\n\r\n- Il ne vous reste plus qu’a exporter le rapport « acteurs et jeux de données » pour avoir vos sous-traitants, leur localisation et les jeux de données auxquelles ils ont accès\r\n\r\n**Etape 4 : Récolter les consentements Cookie**\r\n\r\n- Mettre en place sa politique de cookie\r\n- Mettre en place le widget de consentement sur votre site Web\r\n\r\n**Etape 5 : Gérer les demandes d’exercice des droits**\r\n\r\n- Mettre en place votre [Privacy hub Dastra](https://doc.dastra.eu/features/privacy-hubs) !\r\n\r\n### **✅ Ce que Dastra retient de l’expérience**\r\n\r\n- La certification ISO 27701 permet de **renforcer la culture de la preuve**, même pour une entreprise déjà experte en conformité.\r\n- Elle **oblige à formaliser ce qui est souvent implicite**, notamment en matière de sécurité et de politique de confidentialité.\r\n- Elle permet de **fédérer les équipes** autour d’une démarche commune, avec une vision claire des responsabilités.\r\n- Elle témoigne d’un **engagement concret en faveur de la sécurité et de la vie privée**.\r\n\r\n🎯 **En résumé** : La **certification ISO 27701** est bien plus qu’un label. C’est une **démarche de fond**, qui nous pousse en tant que plateforme spécialisée dans la gestion de la conformité RGPD, à appliquer à nous-mêmes les plus hauts standards en matière de sécurité et de confidentialité.\r\n\r\nNos clients peuvent ainsi compter sur un partenaire fiable et certifié pour les accompagner dans la gestion et la sécurisation de leurs propres données.\r\n\r\n**Souhaitez-vous être accompagné pour une démarche ISO 27701 ?**Dastra propose une plateforme qui vous aidera à centraliser vos preuves, structurer vos politiques et documenter vos pratiques. Mais surtout : c’est un outil conçu par une **équipe qui est passée par là.**","\u003Cp>Parce que les cordonniers sont souvent les plus mal chaussés, chez Dastra, on marche dans du sur-mesure !\u003C/p>\r\n\u003Cp>Chez Dastra, la confidentialité et la sécurité des données ont toujours été au cœur de notre mission. Nous sommes donc fiers d’annoncer que Dastra est désormais \u003Ca href=\"https://www.cnil.fr/fr/liso-27701-une-norme-internationale-pour-la-protection-des-donnees-personnelles\" rel=\"nofollow\">certifiée ISO 27701, une norme internationale\u003C/a> qui atteste de notre conformité aux meilleures pratiques en matière de gestion de la protection des données personnelles.\u003C/p>\r\n\u003Cp>En tant que plateforme spécialisée dans la gestion de la conformité RGPD, nous nous sommes retrouvés clients de notre propre outil. Découvrez notre feuille de route vers cette certification!\u003C/p>\r\n\u003Ch2 id=\"iso-27701-cest-quoi\">🔒ISO 27701 : c’est quoi ?\u003C/h2>\r\n\u003Cp>La \u003Cstrong>norme ISO 27701\u003C/strong> est une extension de l’ISO 27001 (qui certifie un système de management de la sécurité de l’information), en ce qu’elle intègre des exigences spécifiques à la protection des données personnelles.\u003C/p>\r\n\u003Cp>Plusieurs experts techniques et autorités ont contribué à la norme, telle que la CNIL dont le rôle était actif, l’AFNOR et le CEPD. Le but étant d’aligner les exigences de la norme avec \u003Cstrong>plusieurs cadres réglementaires,\u003C/strong> non seulement la loi européenne (RGPD) mais aussi la loi californienne (CCPA) ou encore canadienne.\u003C/p>\r\n\u003Cp>Cette norme à portée mondiale, représente l'état de l'art en protection de la vie privée. Pour en savoir plus, retrouvez les explications de la CNIL\u003Ca href=\"https://www.cnil.fr/fr/liso-27701-une-norme-internationale-pour-la-protection-des-donnees-personnelles\" rel=\"nofollow\"> ici\u003C/a>.\u003C/p>\r\n\u003Cp>Obtenir cette certification signifie que Dastra a mis en place:\u003C/p>\r\n\u003Cul>\r\n\u003Cli>un système de management de la protection des données (\u003Cstrong>PIMS - Privacy Information Management System\u003C/strong>) répondant aux exigences les plus strictes en matière de confidentialité et de gouvernance des informations;\u003C/li>\r\n\u003Cli>des mesures spécifiques aux traitements de données personnelles, en tenant compte de notre rôle, le plus souvent de sous-traitant.\u003C/li>\r\n\u003C/ul>\r\n\u003Ch2 id=\"pourquoi-se-lancer-dans-la-certification-iso-27701\">📍Pourquoi se lancer dans la certification ISO 27701 ?\u003C/h2>\r\n\u003Cp>Bien que Dastra propose déjà une plateforme de \u003Ca href=\"https://www.dastra.eu/fr/article/quest-ce-que-le-rgpd/57032\">conformité RGPD\u003C/a> solide, l’équipe a choisi d’aller encore plus loin.\u003Cbr />\r\n\u003Cbr />\r\nDans une \u003Cstrong>démarche volontaire,\u003C/strong> l’obtention de cette certification incarne une approche proactive, alignée sur les standards internationaux les plus exigeants en matière de protection des données personnelles — un véritable gage de maturité organisationnelle et de rigueur opérationnelle.\u003C/p>\r\n\u003Cp>Concrètement, cela signifie :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Une gestion des données personnelles plus sécurisée et transparente\u003C/li>\r\n\u003Cli>Une conformité renforcée avec le RGPD et d’autres réglementations internationales\u003C/li>\r\n\u003Cli>Une gouvernance efficace et des contrôles rigoureux sur les traitements de données\u003C/li>\r\n\u003Cli>Une amélioration continue de nos processus pour garantir la confidentialité et la sécurité des informations\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Nos clients peuvent ainsi compter sur un \u003Cstrong>partenaire fiable et certifié\u003C/strong> pour les accompagner dans la gestion et la sécurisation de leurs propres données.\u003C/p>\r\n\u003Ch2 id=\"accompagnement-faut-il-se-faire-aider\">🧭 Accompagnement : faut-il se faire aider ?\u003C/h2>\r\n\u003Cp>La réponse est claire : tout dépend de votre structure et de la maturité de votre organisation sur ces sujets, notamment au niveau des connaissances des attentes ISO, et de gestion d'un audit.\u003C/p>\r\n\u003Ctable>\r\n\u003Cthead>\r\n\u003Ctr>\r\n\u003Cth>\u003Cstrong>Critères\u003C/strong>\u003C/th>\r\n\u003Cth>\u003Cstrong>Service\u003C/strong> \u003Cbr>\u003Cstrong>(Expert humain)\u003C/strong>\u003C/th>\r\n\u003Cth>\u003Cstrong>SaaS\u003C/strong> \u003Cbr>\u003Cstrong>(Logiciel)\u003C/strong>\u003C/th>\r\n\u003Cth>\u003Cstrong>Intermédiaire\u003C/strong> \u003Cbr>\u003Cstrong>(SaaS + Service)\u003C/strong>\u003C/th>\r\n\u003C/tr>\r\n\u003C/thead>\r\n\u003Ctbody>\r\n\u003Ctr>\r\n\u003Ctd>\u003Cstrong>Transparence sur la stratégie\u003C/strong>\u003C/td>\r\n\u003Ctd>👍 Moyenne à bonne selon l’acteur\u003C/td>\r\n\u003Ctd>⚠️ Faible : logique « boîte noire » du logiciel\u003C/td>\r\n\u003Ctd>✅ Totale : approche claire, expliquée, personnalisée\u003C/td>\r\n\u003C/tr>\r\n\u003Ctr>\r\n\u003Ctd>\u003Cstrong>Maîtrise des preuves\u003C/strong>\u003C/td>\r\n\u003Ctd>👍 Moyenne, selon l'acteur\u003C/td>\r\n\u003Ctd>⚠️ Limitée : dépend des règles du logiciel\u003C/td>\r\n\u003Ctd>✅ Forte : sélection manuelle, contextualisée\u003C/td>\r\n\u003C/tr>\r\n\u003Ctr>\r\n\u003Ctd>\u003Cstrong>Gain de temps\u003C/strong>\u003C/td>\r\n\u003Ctd>👍 Important sur l’audit, moins sur la collecte\u003C/td>\r\n\u003Ctd>✅ Très fort pour la collecte\u003C/td>\r\n\u003Ctd>✅ Équilibré : rapide mais encadré\u003C/td>\r\n\u003C/tr>\r\n\u003Ctr>\r\n\u003Ctd>\u003Cstrong>Qualité de la certification\u003C/strong>\u003C/td>\r\n\u003Ctd>✅ Haute\u003C/td>\r\n\u003Ctd>⚠️ Dépend de l’utilisateur\u003C/td>\r\n\u003Ctd>✅ Haute (alignée à l’humain + audit)\u003C/td>\r\n\u003C/tr>\r\n\u003Ctr>\r\n\u003Ctd>\u003Cstrong>Coût\u003C/strong>\u003C/td>\r\n\u003Ctd>❗️ Plus élevé\u003C/td>\r\n\u003Ctd>✅ Abordable\u003C/td>\r\n\u003Ctd>💸 Intermédiaire\u003C/td>\r\n\u003C/tr>\r\n\u003Ctr>\r\n\u003Ctd>\u003Cstrong>Niveau d’autonomie requis\u003C/strong>\u003C/td>\r\n\u003Ctd>👍 Faible : tout est guidé\u003C/td>\r\n\u003Ctd>❗️ Fort : tout dépend de l’utilisateur\u003C/td>\r\n\u003Ctd>👍 Modéré : assistance disponible\u003C/td>\r\n\u003C/tr>\r\n\u003Ctr>\r\n\u003Ctd>\u003Cstrong>Adapté aux PME sans ressource dédiée ?\u003C/strong>\u003C/td>\r\n\u003Ctd>✅ Oui\u003C/td>\r\n\u003Ctd>⚠️ Risqué si l’équipe est non formée\u003C/td>\r\n\u003Ctd>✅ Oui, avec support\u003C/td>\r\n\u003C/tr>\r\n\u003C/tbody>\r\n\u003C/table>\r\n\u003Cp>\u003Cbr />\r\nNous avons fait le choix de \u003Cstrong>l'approche intermédiaire\u003C/strong>, en collaboration avec \u003Ca href=\"https://www.bastion.tech\" rel=\"nofollow\">notre partenaire Bastion\u003C/a>, qui a grandement simplifié le processus.\u003Cbr />\r\n\u003Cbr />\r\nCe type d’accompagnement, bien que non obligatoire, s’avère \u003Cstrong>particulièrement stratégique\u003C/strong> — notamment en l’absence d’expertise ISO en interne — pour plusieurs raisons clés qui sont les suivantes :\u003C/p>\r\n\u003Cp>\u003Cdel>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtext/1c821d57-5f28-4b7e-a564-8d51d0837126/des-politiques-de-protection-des-donnees-article-24-rgpd-avec-dastra-creez-vos-original.jpg\" alt=\"\" />\u003C/del>\u003C/p>\r\n\u003Ch2 id=\"les-etapes-cles-de-notre-certification\">\u003Cstrong>Les étapes clés de notre certification\u003C/strong>\u003C/h2>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtext/4d7e25ce-ed66-4b38-b7a3-de7eee5a2de0/preparation-en-amont-4-original.jpg\" alt=\"\" />\u003C/p>\r\n\u003Ch3 id=\"etape-1-preparation-et-gouvernance\">🧩 Étape 1 : Préparation et gouvernance\u003C/h3>\r\n\u003Cp>Notre démarche a débuté il y a deux ans, avec l’ambition d’obtenir simultanément les \u003Ca href=\"https://www.dastra.eu/fr/article/dastra-certifie-iso-27001-27701-securite-et-conformite-renforcees/58959\">certifications ISO 27001 et ISO 27701\u003C/a>. Dès le départ, nous avons mis en place un \u003Cstrong>comité de pilotage\u003C/strong> et désigné un référent chargé de la collecte et de la validation des preuves.\u003C/p>\r\n\u003Cp>Un facteur clé à notre réussite était la mise en place d'une gouvernance transversale : des \u003Cstrong>réunions régulières\u003C/strong> ont été instaurées, impliquant la direction, le DPO et les équipes stratégiques. Ceci a permis d’assurer que la conformité n’était pas portée uniquement par les équipes tech ou juridique, mais bien par l’ensemble de l’entreprise.\u003C/p>\r\n\u003Cp>Une fois la gouvernance cadrée, nous avons commencé par analyser notre système existant pour mesurer l’adéquation de nos pratiques avec les exigences de l’ISO 27701. Dastra avait déjà une base solide grâce à son propre outil (registre des traitements, cartographies, politiques documentées), mais il manquait une approche \u003Cstrong>centralisée de la preuve.\u003C/strong>\u003C/p>\r\n\u003Cp>Il a donc fallu :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Identifier ce qui existe et définir le périmètre de la certification\u003C/li>\r\n\u003Cli>Compléter ce qui manque et analyser des écarts\u003C/li>\r\n\u003Cli>Structurer le tout pour le rendre audit-proof.\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"etape-2-mise-en-place-du-systeme-de-management-de-la-protection-de-la-vie-privee-pims\">🧩 Étape 2 : Mise en place du Système de Management de la Protection de la Vie Privée (PIMS)\u003C/h3>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtext/c7b628b5-e9b1-40e8-befc-70296b4dc10a/preparation-en-amont-8-original.jpg\" alt=\"\" />Afin d’intégrer les exigences de la norme, nous avons renforcé nos politiques et procédures en matière de protection des données personnelles, notamment en :\u003C/p>\r\n\u003Cp>✔ Cartographiant nos traitements de données personnelles.\u003C/p>\r\n\u003Cp>✔ Structurant nos politiques de confidentialité et de gestion des droits des utilisateurs.\u003C/p>\r\n\u003Cp>✔ Mettant en place des mesures de sécurité adaptées pour garantir la confidentialité des informations.\u003C/p>\r\n\u003Cp>A noter que l’auditeur ne s’intéresse pas tant à ce que vous faites qu’à ce que vous prouvez que vous faites: \u003Cstrong>ce qui n’est pas documenté n’existe pas\u003C/strong>. Il ne suffit pas de mettre en place une bonne pratique — encore faut-il en démontrer l’effectivité, de manière structurée et vérifiable.\u003C/p>\r\n\u003Cp>Prenons un exemple concret :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cem>Un simple scan de sécurité ne constitue pas une preuve suffisante. Il faut pouvoir démontrer qu’une action a été entreprise en réponse au scan (correctif, validation, mise en production), avec une capture d’écran ou une traçabilité associée.\u003C/em>\u003C/li>\r\n\u003Cli>\u003Cem>Ou encore : la suppression automatique des données des clients était techniquement opérationnelle chez Dastra, mais l’absence de formalisation explicite de la politique constituait un point d’amélioration identifié.\u003C/em>\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtext/d6e6aa5e-52b1-4b74-ac7c-a0a5958e5472/preparation-en-amont-9-original.jpg\" alt=\"\" />\u003Cstrong>Les politiques indispensables au PIMS:\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Politique de confidentialité\u003C/strong> : définit comment les données personnelles sont collectées, utilisées, stockées et protégées.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Politique de conservation des données\u003C/strong> : précise la durée de conservation des données selon leur type et leur finalité.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Politique de suppression des données\u003C/strong> : décrit les méthodes sécurisées de suppression ou de destruction des données et documents.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Politique de classification des données\u003C/strong> : catégorise les données selon leur sensibilité pour adapter les niveaux de protection.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Politique de chiffrement\u003C/strong> : définit les règles de chiffrement des données en stockage et en transmission.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Plan de communication en cas de changement de sous-traitant\u003C/strong> : encadre la notification des clients et partenaires en cas de modification des sous-traitants.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>CGU/CGV\u003C/strong> : établissent les conditions contractuelles entre l’entreprise et ses utilisateurs ou clients.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Système de management de la sécurité de l’information (ISMS) à jour\u003C/strong> : garantit que toutes les politiques sont formalisées, appliquées, mises à jour et auditées régulièrement.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"etape-3-audit-interne-etape-de-pre-validation\">🧩Étape 3 : Audit interne, étape de pré validation\u003C/h3>\r\n\u003Cp>Avant l’audit officiel, Dastra a réalisé un \u003Cstrong>audit interne\u003C/strong> avec son partenaire \u003Cstrong>Bastion\u003C/strong>. Cela a permis de :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Vérifier que \u003Cstrong>toutes les exigences ISO 27001 + 27701\u003C/strong> étaient bien couvertes.\u003C/li>\r\n\u003Cli>Identifier les éventuelles \u003Cstrong>non-conformités ou preuves résiduelles\u003C/strong>.\u003C/li>\r\n\u003Cli>\u003Cstrong>Mettre en œuvre rapidement\u003C/strong> les ajustements nécessaires.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Ce test grandeur nature est une étape cruciale : il permet de corriger les derniers points faibles \u003Cstrong>sans pression\u003C/strong>.\u003C/p>\r\n\u003Ch3 id=\"etape-4-management-review\">🧩 Étape 4 : Management Review\u003C/h3>\r\n\u003Cp>Le processus s’est conclu par une \u003Cstrong>management review\u003C/strong> réunissant l’ensemble des parties prenantes – direction générale, responsable conformité, technique et produit. Cette réunion finale a permis de :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>De \u003Cstrong>valider collectivement\u003C/strong> les dernières preuves.\u003C/li>\r\n\u003Cli>D’\u003Cstrong>attester formellement\u003C/strong> que les objectifs de conformité ont été atteints.\u003C/li>\r\n\u003Cli>Et démontrer à l’auditeur une \u003Cstrong>gouvernance engagée et pleinement consciente de ses responsabilités\u003C/strong>.\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"etape-5-audit-de-certification-par-un-organisme-accredite\">🧩Étape 5: Audit de certification par un organisme accrédité\u003C/h3>\r\n\u003Cp>Enfin, un auditeur indépendant a évalué notre conformité à la norme. Grâce aux efforts de nos équipes et à notre engagement continu pour la sécurité des données, nous avons obtenu la certification ISO 27701 avec succès.\u003C/p>\r\n\u003Cp>L’équipe le reconnaît : c'était \u003Cstrong>une démarche longue, mais structurante.\u003C/strong> Même pour une entreprise comme Dastra, spécialisée dans la conformité, il a fallu structurer, prouver, formaliser. Ce n’est pas la technologie seule qui permet la certification, mais \u003Cstrong>la cohérence entre les outils, les pratiques et la gouvernance\u003C/strong>.\u003C/p>\r\n\u003Ch2 id=\"comment-dastra-a-simplifie-la-gestion-des-preuves\">\u003Cstrong>🗃️Comment Dastra a simplifié la gestion des preuves?\u003C/strong>\u003C/h2>\r\n\u003Cp>Vous vous en doutez peut-être : avec Dastra, toutes ces étapes précédentes sont possibles !\u003C/p>\r\n\u003Cp>\u003Cstrong>Dastra a fait la moitié du travail.\u003C/strong> Grâce au registre, à la cartographie des traitements et à l’export des preuves, une grande partie des éléments attendus étaient déjà centralisés dans l’outil.\u003C/p>\r\n\u003Cp>Durant le processus d’obtention de la \u003Cstrong>certification ISO 27701\u003C/strong>, nous sommes devenus clients de notre outil qui était indispensable pour faire face à la charge complexe que sont les exigences de la norme.\u003C/p>\r\n\u003Cp>\u003Cstrong>Etape 1 : Avoir une Cartographie des données à jour\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Répertorier les données personnelles de l’entreprise\u003C/li>\r\n\u003Cli>Répertorier les actifs de l’entreprise qui traitent ces données\u003C/li>\r\n\u003Cli>Lier ces actifs aux acteurs sous-traitants\u003C/li>\r\n\u003Cli>Renseigner la localisation de ces sous-traitants\u003C/li>\r\n\u003Cli>Récoltez les documents de sécurité, politiques de gestion des données et les SLA de vos sous-traitants dans le module contrat en les liants à vos acteurs\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>\u003Cstrong>Etape 2 : Avoir un registre des traitements à jour\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Répertorier les traitements de données de l’entreprise\u003C/li>\r\n\u003Cli>\u003Ca href=\"https://www.dastra.eu/fr/guide/analyse-dimpact-sur-la-protection-des-donnees-aipd-pia/51407\">Réaliser automatiquement un PIA\u003C/a> pour vos traitements à risque depuis le module Questionnaire (template PIA)\u003C/li>\r\n\u003Cli>\u003Ca href=\"https://www.dastra.eu/fr/guide/data-processing-agreement/53959\">Générer automatiquement vos DPA\u003C/a>\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>\u003Cstrong>Etape 3 : Exporter un Rapport personnalisé\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Il ne vous reste plus qu’a exporter le rapport « acteurs et jeux de données » pour avoir vos sous-traitants, leur localisation et les jeux de données auxquelles ils ont accès\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>\u003Cstrong>Etape 4 : Récolter les consentements Cookie\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Mettre en place sa politique de cookie\u003C/li>\r\n\u003Cli>Mettre en place le widget de consentement sur votre site Web\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>\u003Cstrong>Etape 5 : Gérer les demandes d’exercice des droits\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Mettre en place votre \u003Ca href=\"https://doc.dastra.eu/features/privacy-hubs\">Privacy hub Dastra\u003C/a> !\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"ce-que-dastra-retient-de-lexperience\">\u003Cstrong>✅ Ce que Dastra retient de l’expérience\u003C/strong>\u003C/h3>\r\n\u003Cul>\r\n\u003Cli>La certification ISO 27701 permet de \u003Cstrong>renforcer la culture de la preuve\u003C/strong>, même pour une entreprise déjà experte en conformité.\u003C/li>\r\n\u003Cli>Elle \u003Cstrong>oblige à formaliser ce qui est souvent implicite\u003C/strong>, notamment en matière de sécurité et de politique de confidentialité.\u003C/li>\r\n\u003Cli>Elle permet de \u003Cstrong>fédérer les équipes\u003C/strong> autour d’une démarche commune, avec une vision claire des responsabilités.\u003C/li>\r\n\u003Cli>Elle témoigne d’un \u003Cstrong>engagement concret en faveur de la sécurité et de la vie privée\u003C/strong>.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>🎯 \u003Cstrong>En résumé\u003C/strong> : La \u003Cstrong>certification ISO 27701\u003C/strong> est bien plus qu’un label. C’est une \u003Cstrong>démarche de fond\u003C/strong>, qui nous pousse en tant que plateforme spécialisée dans la gestion de la conformité RGPD, à appliquer à nous-mêmes les plus hauts standards en matière de sécurité et de confidentialité.\u003C/p>\r\n\u003Cp>Nos clients peuvent ainsi compter sur un partenaire fiable et certifié pour les accompagner dans la gestion et la sécurisation de leurs propres données.\u003C/p>\r\n\u003Cp>\u003Cstrong>Souhaitez-vous être accompagné pour une démarche ISO 27701 ?\u003C/strong>\u003Cbr />\r\nDastra propose une plateforme qui vous aidera à centraliser vos preuves, structurer vos politiques et documenter vos pratiques. Mais surtout : c’est un outil conçu par une \u003Cstrong>équipe qui est passée par là.\u003C/strong>\u003C/p>\r\n","Comment mettre en place l'ISO 27701 ?","Découvrez au sein de notre article comment et pourquoi se certifier ISO 27701 ! Faut-il se faire aider ?",1998,11,"Mettre en place l'ISO 27701 en startup : retour d'expérience",0,null,"fr","iso-27701-startup-experience","En tant que plateforme spécialisée dans la gestion de la conformité RGPD, nous nous sommes retrouvés clients de notre propre outil. Découvrez notre feuille de route vers cette certification!","Published",{"id":19,"displayName":20,"avatarUrl":21,"bio":13,"blogUrl":13,"color":13,"userId":19,"creationDate":22},20352,"Leïla Sayssa","https://static.dastra.eu/tenant-3/avatar/20352/TDYeY3C8Rz1lLE/dpo-avatar-h01-150.png","2025-03-03T11:08:22","2025-03-31T06:00:00","2025-03-11T10:28:42.9633217","2025-04-04T14:29:20.6187486",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":32},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[33,35,38],{"lang":14,"name":28,"description":34},"Une liste d'articles rédigés par la communauté",{"lang":36,"name":28,"description":37},"es","Una lista de artículos escritos por la comunidad",{"lang":39,"name":28,"description":40},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[42,47,69],{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":43},[44,45,46],{"lang":14,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},{"id":48,"name":49,"description":50,"url":51,"color":52,"parentId":27,"count":13,"imageUrl":13,"parent":53,"order":58,"translations":59},20,"Inside Dastra","Go behind the scenes at Dastra: company news, culture, events, team highlights, and the people driving our GDPR solution.","dastra-life","#e3cf68",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":54},[55,56,57],{"lang":14,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},3,[60,63,66],{"lang":14,"name":61,"description":62},"Vie de Dastra","Plongez dans les coulisses de Dastra : actualités internes, culture d’entreprise, événements, équipes et engagements. Découvrez qui se cache derrière notre solution RGPD.",{"lang":39,"name":64,"description":65},"Innerhalb von Dastra","Eintauchen in das Unternehmen",{"lang":36,"name":67,"description":68},"Dentro de Dastra","Sumérjase en la empresa",{"id":70,"name":71,"description":72,"url":73,"color":74,"parentId":27,"count":13,"imageUrl":13,"parent":75,"order":80,"translations":81},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":76},[77,78,79],{"lang":14,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},5,[82,84,87],{"lang":14,"name":71,"description":83},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":39,"name":85,"description":86},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":36,"name":88,"description":89},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[],"https://static.dastra.eu/content/ccc5d5bc-7f4f-4aa0-b0db-31e5ddc0b4e8/visuel-article-18-original.png",[93,94,95,96,97,98,99],"https://static.dastra.eu/content/ccc5d5bc-7f4f-4aa0-b0db-31e5ddc0b4e8/visuel-article-18-1000.webp","https://static.dastra.eu/content/ccc5d5bc-7f4f-4aa0-b0db-31e5ddc0b4e8/visuel-article-18.webp","https://static.dastra.eu/content/ccc5d5bc-7f4f-4aa0-b0db-31e5ddc0b4e8/visuel-article-18-1500.webp","https://static.dastra.eu/content/ccc5d5bc-7f4f-4aa0-b0db-31e5ddc0b4e8/visuel-article-18-800.webp","https://static.dastra.eu/content/ccc5d5bc-7f4f-4aa0-b0db-31e5ddc0b4e8/visuel-article-18-600.webp","https://static.dastra.eu/content/ccc5d5bc-7f4f-4aa0-b0db-31e5ddc0b4e8/visuel-article-18-300.webp","https://static.dastra.eu/content/ccc5d5bc-7f4f-4aa0-b0db-31e5ddc0b4e8/visuel-article-18-100.webp",58957]