Quelles sont les commandes du contrôleur PII dans la norme ISO 27701:2025 ?
Tableau A.1 de ISO 27701:2025 Annexe A Ce texte définit 31 contrôles applicables à toute organisation agissant en tant que responsable du traitement des données personnelles. Un responsable du traitement des données personnelles est une organisation qui détermine les finalités et les moyens du traitement des données à caractère personnel.
Ces contrôles sont regroupés en quatre objectifs :
- Conditions de collecte et de traitement (A.1.2) — 8 contrôles portant sur la base légale, le consentement, l'analyse d'impact relative à la protection de la vie privée, les contrats et les documents
- Obligations envers les principaux responsables de PII (A.1.3) — 10 mécanismes de contrôle relatifs à la transparence, aux droits des personnes concernées, aux décisions automatisées et au traitement des demandes
- Protection des données dès la conception et protection des données par défaut (A.1.4) — 9 contrôles relatifs à la minimisation, la conservation, l'élimination et la transmission des données
- Partage, transfert et divulgation des renseignements personnels (A.1.5) — 4 contrôles relatifs aux transferts transfrontaliers et aux registres de divulgation
Chaque contrôle est assorti de lignes directrices de mise en œuvre correspondantes à l'annexe B (section B.1). Par exemple, les lignes directrices pour le contrôle A.1.2.2 Identifier et documenter l'objectif se trouve à B.1.2.2.
Conditions de collecte et de traitement (A.1.2)
Objectif : Démontrer que le traitement est licite, qu’il repose sur une base légale conformément aux juridictions applicables et qu’il poursuit des finalités clairement définies et légitimes.
| Contrôle | Objet | Résumé |
|---|---|---|
| A.1.2.2 Identifier et documenter l'objectif | Identifier et documenter l'objectif | Identifier et documenter les finalités spécifiques du traitement des données personnelles identifiables. |
| A.1.2.3 Identifier la base légale | Identifier le fondement juridique | Déterminer, documenter et démontrer la conformité aux fondements juridiques pertinents |
| A.1.2.4 Déterminer le consentement | Déterminer quand et comment le consentement doit être obtenu | Décrivez la procédure permettant de démontrer si, quand et comment le consentement a été obtenu. |
| A.1.2.5 Obtenir et consigner le consentement | Obtenir et consigner le consentement | Obtenir et consigner le consentement des personnes concernées par les renseignements personnels, conformément aux processus documentés. |
| A.1.2.6 Évaluation de l'impact sur la vie privée | évaluation de l'impact sur la vie privée | Évaluer la nécessité et mettre en œuvre des analyses d'impact relatives à la protection des données pour les traitements nouveaux ou modifiés |
| A.1.2.7 Contrats avec les sous-traitants de données personnelles | Contrats avec les sous-traitants de données personnelles | S'assurer que les contrats écrits avec les responsables du traitement des données personnelles abordent les points suivants : Annexe A contrôles |
| A.1.2.8 Contrôleur conjoint des données personnelles | Contrôleur conjoint des données personnelles | Déterminer les rôles et les responsabilités avec tout responsable conjoint du traitement des données personnelles. |
| A.1.2.9 Registres de traitement des données personnelles | Enregistrements relatifs au traitement des données personnelles | Déterminer et conserver en toute sécurité les dossiers à l'appui des obligations de traitement des renseignements personnels |
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Obligations envers les principaux responsables de PII (A.1.3)
Objectif : Garantir que les personnes concernées par le traitement de leurs données personnelles reçoivent les informations appropriées et respecter toute autre obligation applicable.
| Contrôle | Objet | Résumé |
|---|---|---|
| A.1.3.2 Obligations envers les mandants PII | Déterminer et remplir les obligations envers les principaux responsables des renseignements personnels | Déterminer et documenter les obligations légales, réglementaires et commerciales envers les personnes physiques à risque. |
| A.1.3.3 Informations destinées aux personnes concernées par les données personnelles | Détermination des informations relatives aux personnes physiques à risque | Déterminer et documenter les informations à fournir aux personnes concernées par les renseignements personnels et à quel moment. |
| A.1.3.4 Fournir des informations | Fournir des informations aux personnes concernées par les renseignements personnels | Fournir des informations claires et accessibles identifiant le responsable du traitement et décrivant le traitement |
| A.1.3.5 Modifier ou retirer son consentement | Fournir un mécanisme permettant de modifier ou de retirer son consentement | Mettre en place un mécanisme permettant aux personnes concernées par les données personnelles de modifier ou de retirer leur consentement |
| A.1.3.6 S'opposer au traitement des données personnelles | Fournir un mécanisme pour s'opposer au traitement des informations personnelles identifiables | Fournir un mécanisme permettant aux personnes concernées par les données personnelles de s'opposer au traitement |
| A.1.3.7 Accès, rectification ou effacement | Accès, rectification ou effacement | Mettre en œuvre des politiques et des mécanismes pour respecter les obligations d'accès, de rectification ou d'effacement |
| A.1.3.8 Informer les tiers | Obligations des responsables du traitement des données personnelles d'informer les tiers | Informer les tiers des modifications, retraits ou objections concernant le partage des données personnelles. |
| A.1.3.9 Fourniture d'une copie des renseignements personnels | Fourniture d'une copie des données personnelles traitées | Fournir une copie des données personnelles traitées à la demande du responsable du traitement. |
| A.1.3.10 Traitement des demandes | Gestion des demandes | Définir et documenter les politiques de traitement des demandes légitimes émanant des personnes concernées par les informations personnelles identifiables. |
| A.1.3.11 Prise de décision automatisée | Prise de décision automatisée | Identifier les obligations découlant de décisions fondées exclusivement sur le traitement automatisé des données personnelles |
Protection des données dès la conception et protection des données par défaut (A.1.4)
Objectif : S’assurer que les processus et les systèmes sont conçus de manière à ce que la collecte et le traitement des renseignements personnels soient limités à ce qui est nécessaire à la finalité identifiée.
| Contrôle | Objet | Résumé |
|---|---|---|
| A.1.4.2 Limite de collecte | Limiter la collecte | Limiter la collecte de renseignements personnels à ce qui est pertinent, proportionné et nécessaire. |
| A.1.4.3 Traitement limite | Limiter le traitement | Limiter le traitement à ce qui est adéquat, pertinent et nécessaire aux fins identifiées |
| A.1.4.4 Exactitude et qualité | Précision et qualité | S'assurer que les informations personnelles identifiables (IPI) sont exactes, complètes et à jour tout au long de leur cycle de vie |
| A.1.4.5 Minimisation des informations personnelles identifiables | objectifs de minimisation des informations personnelles identifiables | Définir et documenter les objectifs et les mécanismes de minimisation des données |
| A.1.4.6 Dé-identification et suppression | Dé-identification et suppression des données personnelles | Supprimer les informations personnelles identifiables ou les rendre non identifiables lorsqu'elles ne sont plus nécessaires. |
| A.1.4.7 Fichiers temporaires | Fichiers temporaires | Éliminer les fichiers temporaires issus du traitement des données personnelles dans un délai documenté. |
| A.1.4.8 Rétention | Rétention | Ne conservez pas les informations personnelles identifiables plus longtemps que nécessaire aux fins de traitement. |
| A.1.4.9 Élimination | Disposition | Nous avons mis en place des politiques, des procédures et des mécanismes documentés pour l'élimination des renseignements personnels. |
| A.1.4.10 Commandes de transmission PII | Contrôles de transmission des données personnelles | Les données personnelles transmises sur les réseaux sont soumises à des contrôles appropriés. |
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Partage, transfert et divulgation des renseignements personnels (A.1.5)
Objectif : Déterminer si, et documenter à quel moment, des renseignements personnels sont partagés, transférés ou divulgués conformément aux obligations applicables.
| Contrôle | Objet | Résumé |
|---|---|---|
| A.1.5.2 Base du transfert des données personnelles identifiables | Identifier les fondements du transfert de renseignements personnels entre juridictions | Identifier et documenter les fondements des transferts internationaux de données personnelles identifiables. |
| A.1.5.3 Pays pour le transfert des données personnelles | Pays et organisations internationales pour le transfert de données personnelles | Spécifiez et documentez les pays et organisations auxquels les informations personnelles peuvent être transférées. |
| A.1.5.4 Enregistrements des transferts de données personnelles | Enregistrements de transfert de données personnelles | Consignez les transferts de données personnelles vers ou depuis des tiers et assurez-vous de leur coopération. |
| A.1.5.5 Enregistrements des divulgations de renseignements personnels | Registres des divulgations de renseignements personnels à des tiers | Déclarations de documents, y compris ce qui a été divulgué, à qui et quand |
Quel est le lien entre ces contrôles et le RGPD ?
Les commandes du contrôleur PII correspondent largement à GDPR exigences. Les principales connexions comprennent :
- A.1.2 (Collecte et traitement) correspond aux articles 5 et 6 (principes et base légale), à l'article 7 (consentement) et aux articles 8 et 9 (enfants et catégories particulières) du RGPD.
- A.1.3 (Obligations envers les mandants PII) correspond aux articles 12 à 22 du RGPD (droits des personnes concernées, notamment l'accès, la rectification, l'effacement, la portabilité et les décisions automatisées).
- A.1.4 (Protection de la vie privée dès la conception) correspond à l'article 25 du RGPD (protection des données dès la conception et par défaut) et à l'article 5(1)(c–e) (minimisation, exactitude, limitation de la conservation)
- A.1.5 (Transferts) correspondance avec les articles 44 à 49 du RGPD (transferts internationaux, adéquation, garanties, BCR)
Pourquoi nous choisir ISMS.en ligne pour la conformité du contrôleur PII ?
ISMS.en ligne vous aide à mettre en œuvre et à justifier chaque contrôle du tableau A.1 :
- Cadre de contrôle pré-intégré — Les 31 commandes du contrôleur sont cartographiées et prêtes pour votre déclaration d'applicabilité.
- Gestion du consentement — Documenter les processus de consentement, les registres et les mécanismes de retrait
- Flux de travail PIA — Réaliser et suivre les analyses d'impact sur la vie privée à l'aide de formulaires types
- suivi des demandes des personnes concernées — Enregistrer et gérer les demandes d'accès, de correction et d'effacement avec suivi des SLA
- Enregistrements de transfert — Tenir un registre des transferts internationaux avec une documentation juridique à l'appui.
- Gestion des contrats de traitement — Assurer le suivi des contrats, des vérifications préalables et des obligations de conformité pour chaque sous-traitant.
Questions fréquentes
Les 31 contrôles s'appliquent-ils tous à chaque contrôleur PII ?
Pas nécessairement. Vous devez inclure tous les contrôles applicables dans votre déclaration d'applicabilité, mais certains contrôles peuvent être exclus si votre évaluation des risques détermine qu'ils ne sont pas nécessaires ou s'ils ne sont pas exigés par la loi applicable. Toute exclusion doit être justifiée.
Quelle est la différence entre le tableau A.1 et le tableau A.3 ?
Le tableau A.1 contient des contrôles spécifiques aux responsables du traitement des données personnelles (par exemple, le consentement, les droits des personnes concernées, les analyses d’impact sur la vie privée). Tableau A.3 Ce tableau contient des mesures de sécurité de l'information qui s'appliquent aux responsables du traitement et aux sous-traitants (par exemple, contrôle d'accès, journalisation, cryptographie). En tant que responsable du traitement des données personnelles, les deux tableaux vous concernent.
Où puis-je trouver les instructions de mise en œuvre pour ces contrôles ?
L’annexe B, section B.1, fournit des instructions de mise en œuvre pour chaque contrôle du tableau A.1. La numérotation correspond exactement : instructions pour A.1.2.2 Identifier et documenter l'objectif se trouve à B.1.2.2, conseils pour A.1.3.7 Accès, rectification ou effacement se trouve à B.1.3.7, et ainsi de suite.
Documentez vos sélections de commandes dans un Déclaration d'applicabilité pour démontrer votre raisonnement aux auditeurs.
Les DPO peuvent trouver un aperçu précis de leurs obligations de responsable du traitement dans notre guide pour les DPO.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent de ces contrôles.
