Quand un industriel ou une direction financière me parle de "conformité", le mot recouvre presque toujours deux choses différentes qu'on confond : la qualité (ISO 9001) et la sécurité de l'information (ISO 27001). Ce n'est pas un détail sémantique — ça change complètement ce qu'on doit construire sur un site web, un formulaire ou un flux automatisé.

ISO 9001 : la qualité du processus, pas la sécurité des données

ISO 9001 encadre le management de la qualité : comment une organisation structure ses processus pour livrer un résultat constant et satisfaire ses clients. Appliqué à un site web ou à une automatisation, ça se traduit par une méthode : cadrage, validation par étapes, documentation, traçabilité des décisions — plutôt que de l'improvisation.

ISO 27001 : la sécurité de l'information

ISO 27001 vise un objectif différent : protéger les données sensibles (clients, contrats, données financières) contre la perte, la fuite ou l'accès non autorisé. C'est la norme qui compte quand un cabinet juridique, une direction financière ou un industriel demande "où vont mes données" et "qui peut y accéder".

Les deux normes partagent la même structure (l'annexe SL), ce qui explique la confusion — mais l'une parle de qualité, l'autre de sécurité. Un site web ou une automatisation peut viser l'un, l'autre, ou les deux, selon le vrai besoin du client.

Pourquoi c'est pertinent pour votre projet, même sans certification

Je ne suis pas certifiée auditrice ISO — et je ne le prétends pas. Dans le cadre de mon cursus d'ingénierie informatique (DUT, Licence pro, puis 12 unités de niveau ingénieur au CNAM Grand Est), j'ai suivi un module dédié aux référentiels d'audit et de sécurité de l'information, validé par un examen. Cette formation guide la façon dont je structure un projet : audit de l'existant avant toute décision, cadrage documenté, choix d'hébergement et d'intégrations pensés pour la protection des données, et non l'inverse.

Concrètement, ça se retrouve dans ma méthode de travail : la phase "Audit technique & cadrage" présente sur chaque offre n'est pas un exercice de style, c'est la première brique d'une approche pensée pour la rigueur — celle qu'attendent des interlocuteurs habitués aux audits et aux cahiers des charges stricts.

Pourquoi les PME et cabinets ne peuvent plus ignorer ce sujet

Les petites structures ne sont pas épargnées : la majorité des cyberattaques réussies en France touchent des TPE et PME, avec un coût moyen qui se chiffre en centaines de milliers d'euros par incident. La certification ISO 27001 complète, elle, représente un investissement de plusieurs milliers d'euros et plusieurs mois — hors de portée pour beaucoup de structures que j'accompagne.

C'est justement là que se situe mon rôle : sans viser une certification formelle, appliquer les bons réflexes (hébergement sécurisé, gestion des accès, formulaires conformes RGPD, sauvegardes, documentation) dès la conception d'un site ou d'une automatisation, pour réduire les risques sans le coût d'une démarche de certification complète.

En résumé

ISO 9001 structure la qualité du travail. ISO 27001 structure la protection des données. Vous n'avez pas besoin d'être certifié pour bénéficier des deux logiques — vous avez besoin d'un prestataire qui les comprend et les applique dès le cadrage de votre projet.