Comment l'annexe A est-elle structurée dans la norme ISO 27701:2025 ?
L’annexe A est normative, ce qui signifie que ses contrôles constituent des exigences (et non des recommandations facultatives). Elle est organisée en trois tableaux en fonction du rôle de l’organisation dans le traitement des données à caractère personnel (DCP) :
| lampe de table | S'applique à | Contrôles | Zones de concentration |
|---|---|---|---|
| Tableau A.1 | Contrôleurs PII | 31 | Base juridique, consentement, principaux droits relatifs aux données personnelles, protection des données dès la conception, transferts de données |
| Tableau A.2 | processeurs de données personnelles | 18 | Contrats clients, finalités du traitement, gestion des sous-traitants, informations à fournir |
| Tableau A.3 | Contrôleurs et processeurs | 29 | Politiques de sécurité de l'information, contrôle d'accès, gestion des incidents, cryptographie, sécurité du développement |
Chaque contrôle de l'annexe A possède des directives de mise en œuvre correspondantes dans l'annexe B (par exemple, des directives pour le contrôle). A.1.2.2 Identifier et documenter l'objectif se trouve dans B.1.2.2). Les organisations doivent inclure tous les contrôles applicables dans leur déclaration d'applicabilité, avec une justification pour toute exclusion [Clause 6.1.3 e)].
Que couvre le tableau A.1 ? (Contrôles du contrôleur PII)
Tableau A.1 contient 31 commandes regroupés en quatre objectifs. Ceux-ci s'appliquent à toute organisation qui détermine les finalités et les moyens du traitement des données personnelles.
Conditions de collecte et de traitement (A.1.2)
Objectif : Démontrer que le traitement est licite, qu’il repose sur une base légale conformément aux juridictions applicables et qu’il poursuit des finalités clairement définies et légitimes.
| Contrôle | Objet |
|---|---|
| A.1.2.2 Identifier et documenter l'objectif | Identifier et documenter l'objectif |
| A.1.2.3 Identifier la base légale | Identifier le fondement juridique |
| A.1.2.4 Déterminer le consentement | Déterminer quand et comment le consentement doit être obtenu |
| A.1.2.5 Obtenir et consigner le consentement | Obtenir et consigner le consentement |
| A.1.2.6 Évaluation de l'impact sur la vie privée | évaluation de l'impact sur la vie privée |
| A.1.2.7 Contrats avec les sous-traitants de données personnelles | Contrats avec les sous-traitants de données personnelles |
| A.1.2.8 Contrôleur conjoint des données personnelles | Contrôleur conjoint des données personnelles |
| A.1.2.9 Registres de traitement des données personnelles | Enregistrements relatifs au traitement des données personnelles |
Obligations envers les principaux responsables de PII (A.1.3)
Objectif : Garantir que les personnes concernées par le traitement de leurs données personnelles reçoivent les informations appropriées et respecter toute autre obligation applicable.
| Contrôle | Objet |
|---|---|
| A.1.3.2 Obligations envers les mandants PII | Déterminer et remplir les obligations envers les principaux responsables des renseignements personnels |
| A.1.3.3 Informations destinées aux personnes concernées par les données personnelles | Détermination des informations relatives aux personnes physiques à risque |
| A.1.3.4 Fournir des informations | Fournir des informations aux personnes concernées par les renseignements personnels |
| A.1.3.5 Modifier ou retirer son consentement | Fournir un mécanisme permettant de modifier ou de retirer son consentement |
| A.1.3.6 S'opposer au traitement des données personnelles | Fournir un mécanisme pour s'opposer au traitement des informations personnelles identifiables |
| A.1.3.7 Accès, rectification ou effacement | Accès, rectification ou effacement |
| A.1.3.8 Informer les tiers | Obligations des responsables du traitement des données personnelles d'informer les tiers |
| A.1.3.9 Fourniture d'une copie des renseignements personnels | Fourniture d'une copie des données personnelles traitées |
| A.1.3.10 Traitement des demandes | Gestion des demandes |
| A.1.3.11 Prise de décision automatisée | Prise de décision automatisée |
Protection des données dès la conception et protection des données par défaut (A.1.4)
Objectif : S’assurer que les processus et les systèmes sont conçus de manière à ce que la collecte et le traitement des renseignements personnels soient limités à ce qui est nécessaire à la finalité identifiée.
| Contrôle | Objet |
|---|---|
| A.1.4.2 Limite de collecte | Limiter la collecte |
| A.1.4.3 Traitement limite | Limiter le traitement |
| A.1.4.4 Exactitude et qualité | Précision et qualité |
| A.1.4.5 Minimisation des informations personnelles identifiables | objectifs de minimisation des informations personnelles identifiables |
| A.1.4.6 Dé-identification et suppression | Dépersonnalisation et suppression des données personnelles à la fin du traitement |
| A.1.4.7 Fichiers temporaires | Fichiers temporaires |
| A.1.4.8 Rétention | Rétention |
| A.1.4.9 Élimination | Disposition |
| A.1.4.10 Commandes de transmission PII | Contrôles de transmission des données personnelles |
Partage, transfert et divulgation des renseignements personnels (A.1.5)
Objectif : Déterminer si, et documenter à quel moment, des renseignements personnels sont partagés, transférés ou divulgués conformément aux obligations applicables.
| Contrôle | Objet |
|---|---|
| A.1.5.2 Base du transfert des données personnelles identifiables | Identifier les fondements du transfert de renseignements personnels entre juridictions |
| A.1.5.3 Pays pour le transfert des données personnelles | Pays et organisations internationales auxquels les renseignements personnels peuvent être transférés |
| A.1.5.4 Enregistrements des transferts de données personnelles | Enregistrements de transfert de données personnelles |
| A.1.5.5 Enregistrements des divulgations de renseignements personnels | Registres des divulgations de renseignements personnels à des tiers |
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Que couvre le tableau A.2 ? (Contrôles du processeur de données personnelles)
Tableau A.2 contient 18 commandes regroupés en quatre objectifs. Ceux-ci s'appliquent à toute organisation qui traite des données personnelles pour le compte d'un responsable du traitement des données personnelles.
Conditions de collecte et de traitement (A.2.2)
| Contrôle | Objet |
|---|---|
| A.2.2.2 Contrat client | Accord client |
| A.2.2.3 Objectifs de l'organisation | Objectifs de l'organisation |
| A.2.2.4 Marketing et publicité | Utilisation du marketing et de la publicité |
| A.2.2.5 Instruction contrefaisante | Instruction contrefaisante |
| A.2.2.6 Obligations du client | Obligations du client |
| A.2.2.7 Registres de traitement des données personnelles | Enregistrements relatifs au traitement des données personnelles |
Obligations envers les principaux responsables de PII (A.2.3)
| Contrôle | Objet |
|---|---|
| A.2.3.2 Obligations envers les mandants PII | Respecter les obligations envers les personnes physiques à risque |
Protection des données dès la conception et protection des données par défaut (A.2.4)
| Contrôle | Objet |
|---|---|
| A.2.4.2 Fichiers temporaires | Fichiers temporaires |
| A.2.4.3 Retour, transfert ou élimination | Retour, transfert ou élimination des données personnelles |
| A.2.4.4 Commandes de transmission PII | Contrôles de transmission des données personnelles |
Partage, transfert et divulgation des renseignements personnels (A.2.5)
| Contrôle | Objet |
|---|---|
| A.2.5.2 Base du transfert des données personnelles identifiables | Base juridique du transfert de renseignements personnels entre juridictions |
| A.2.5.3 Pays pour le transfert des données personnelles | Pays et organisations internationales auxquels les renseignements personnels peuvent être transférés |
| A.2.5.4 Enregistrements des divulgations de renseignements personnels | Registres des divulgations de renseignements personnels à des tiers |
| A.2.5.5 Demandes de divulgation de renseignements personnels | Notification des demandes de divulgation de renseignements personnels |
| A.2.5.6 Divulgations juridiquement contraignantes | Divulgations de renseignements personnels juridiquement contraignantes |
| A.2.5.7 Divulgation des sous-traitants | Divulgation des sous-traitants utilisés pour le traitement des données personnelles |
| A.2.5.8 Recours à des sous-traitants | Recours à un sous-traitant pour le traitement des données personnelles |
| A.2.5.9 Changement de sous-traitant | Changement de sous-traitant pour le traitement des données personnelles |
Que couvre le tableau A.3 ? (Contrôles de sécurité partagés)
Tableau A.3 contient 29 commandes Ces mesures s'appliquent aussi bien aux responsables du traitement des données personnelles qu'aux sous-traitants. Il s'agit de contrôles de sécurité de l'information assortis d'exigences spécifiques en matière de traitement des données personnelles.
| Contrôle | Objet |
|---|---|
| A.3.3 Politiques de sécurité de l'information | Politiques de sécurité des informations |
| A.3.4 Rôles de sécurité | Rôles et responsabilités en matière de sécurité de l'information |
| A.3.5 Classification des informations | Classement des informations |
| A.3.6 Étiquetage des informations | Étiquetage des informations |
| A.3.7 Transfert d'informations | Transfert d'information |
| A.3.8 Gestion des identités | Gestion d'identité |
| A.3.9 Droits d'accès | Des droits d'accès |
| A.3.10 Accords avec les fournisseurs | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| A.3.11 Gestion des incidents | Planification et préparation de la gestion des incidents de sécurité de l’information |
| A.3.12 Réponse aux incidents de sécurité | Réponse aux incidents de sécurité de l'information |
| A.3.13 Exigences légales et réglementaires | Exigences légales, statutaires, réglementaires et contractuelles |
| A.3.14 Protection des dossiers | Protection des dossiers |
| A.3.15 Examen indépendant | Examen indépendant de la sécurité de l’information |
| A.3.16 Conformité aux politiques | Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| A.3.17 Sensibilisation et formation à la sécurité | Sensibilisation, éducation et formation à la sécurité de l’information |
| A.3.18 Accords de confidentialité | Accords de confidentialité ou de non-divulgation |
| A.3.19 Bureau dégagé et écran dégagé | Bureau clair et écran clair |
| A.3.20 Supports de stockage | Supports de stockage |
| A.3.21 Élimination sécurisée des équipements | Élimination ou réutilisation sécurisée des équipements |
| A.3.22 Dispositifs terminaux utilisateur | Appareils de point de terminaison utilisateur |
| A.3.23 Authentification sécurisée | Authentification sécurisée |
| A.3.24 Sauvegarde des informations | Sauvegarde des informations |
| A.3.25 Exploitation forestière | Journal |
| A.3.26 Utilisation de la cryptographie | Utilisation de la cryptographie |
| A.3.27 Cycle de vie du développement sécurisé | Cycle de vie de développement sécurisé |
| A.3.28 Sécurité des applications | Exigences de sécurité des applications |
| A.3.29 Architecture système sécurisée | Architecture de système sécurisée et principes d’ingénierie |
| A.3.30 Développement externalisé | Développement externalisé |
| A.3.31 Informations sur les tests | Informations de test |
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Comment les annexes A et B fonctionnent-elles ensemble ?
L’annexe A définit les objectifs de contrôle et déclarations de contrôle (le « quoi »). L’annexe B fournit conseils de mise en œuvre (le « comment »). Chaque contrôle de l’annexe A a une clause correspondante à l’annexe B, portant la même numérotation :
- Contrôle A.1.2.2 Identifier et documenter l'objectif (Identifier et documenter l'objectif) → Conseils à B.1.2.2
- Contrôle A.2.2.2 Contrat client (Contrat client) → Conseils à B.2.2.2
- Contrôle A.3.3 Politiques de sécurité de l'information (Politiques de sécurité de l'information) → Conseils à B.3.3
Lors de la mise en œuvre d'un contrôle, il convient de lire conjointement les exigences de l'annexe A et les recommandations de l'annexe B. Bien que l'annexe B soit de nature normative et utilise le conditionnel plutôt que l'obligation, les auditeurs s'attendront à ce que votre mise en œuvre soit conforme à son esprit.
Quel est le lien entre l'annexe A et les autres annexes ?
La norme comprend quatre annexes de correspondance supplémentaires qui relient les contrôles de l'annexe A à des cadres externes :
- Annexe C — Associe les contrôles aux 11 principes de confidentialité de la norme ISO/IEC 29100
- Annexe D - Contrôles des cartes vers les articles du RGPD (Articles 5 à 35 et 44 à 49)
- Annexe E — Associe les contrôles aux normes ISO/IEC 27018 (processeurs cloud) et ISO/IEC 29151 (protection des données personnelles).
- Annexe F - Maps 2025 contrôle les équivalents à la norme ISO 27701:2019
Ces cartographies sont informatives (et non normatives), mais elles sont précieuses pour les organisations qui doivent démontrer leur conformité à plusieurs référentiels simultanément.
Pourquoi nous choisir ISMS.en ligne pour l'annexe A de la norme ISO 27701:2025 ?
ISMS.en ligne vous offre une méthode structurée et vérifiable pour mettre en œuvre chaque contrôle de l'annexe A :
Comparez comment les principales plateformes prennent en charge la mise en œuvre de l'annexe A dans notre Comparatif des logiciels de conformité.
- Ensembles de commandes pré-assemblés — Les 78 contrôles sont cartographiés et prêts pour votre déclaration d'applicabilité
- Preuves reliant — Joindre directement à chaque contrôle les politiques, les évaluations des risques, les résultats d'audit et les enregistrements.
- Vues basées sur les rôles — Filtrez les contrôles en fonction de votre rôle (contrôleur, processeur ou les deux) afin de ne voir que ce qui s'applique.
- Suivi des écarts — Indiquez pour chaque contrôle comme étant mis en œuvre, partiellement mis en œuvre ou non applicable, en fournissant une justification.
- Cartographie inter-cadres — Voyez comment chaque commande correspond à GDPR, la norme ISO 27001 et les autres référentiels que vous utilisez
- Exportations prêtes à être auditées — Générez votre déclaration d’applicabilité et vos dossiers de preuves pour les auditeurs externes
Questions fréquentes
Dois-je mettre en œuvre les 78 contrôles de l’annexe A ?
Pas nécessairement. Vous devez inclure dans votre déclaration d'applicabilité tous les contrôles applicables à votre rôle (responsable du traitement, sous-traitant ou les deux). Toute exclusion doit être justifiée. Les contrôles peuvent être exclus s'ils ne sont pas jugés nécessaires par votre évaluation des risques ou s'ils ne sont pas exigés par les dispositions légales applicables.
Quelle est la différence entre l'annexe A et l'annexe B ?
L’annexe A contient les objectifs et les énoncés de contrôle (les exigences). L’annexe B fournit des orientations de mise en œuvre pour chaque contrôle. L’annexe A est normative (obligatoire) ; l’annexe B, également normative, utilise le conditionnel pour formuler des recommandations de mise en œuvre que les auditeurs s’attendent à voir appliquées.
Comment savoir quel tableau s'applique à mon organisation ?
Si vous déterminez les finalités et les moyens du traitement des données personnelles, Tableau A.1 (contrôles du responsable du traitement) s'applique. Si vous traitez des données personnelles pour le compte d'une autre organisation, Tableau A.2 (Contrôles du processeur) s'applique. Tableau A.3 Le principe du contrôle partagé s'applique aux deux rôles. De nombreuses organisations agissent à la fois comme responsables du traitement et comme sous-traitants pour différentes activités de traitement.
Comment les commandes de 2025 correspondent-elles à celles de l'édition 2019 ?
L’annexe F présente un tableau de correspondance complet dans les deux sens. Le tableau F.1 établit la correspondance entre les contrôles de 2025 et leurs équivalents de 2019. Le tableau F.2 établit la correspondance entre les contrôles de 2019 et leurs équivalents de 2025. Consultez notre Guide de correspondance de l'annexe F pour la cartographie complète.
Apprenez comment documenter vos sélections de contrôle dans notre Guide de déclaration d'applicabilité.
Chaque contrôle nécessite des preuves à l'appui — voir notre exigences en matière de preuves d'audit guide sur les attentes des auditeurs.
