Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.2.2 : Identifier et documenter la finalité

Le contrôle A.1.2.2 exige des organismes qu’ils identifient et documentent les finalités spécifiques du traitement des données à caractère personnel. Il s’agit du fondement du traitement licite des données selon la norme ISO 27701:2025.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.2.2 ?

L’organisation doit identifier et documenter les finalités spécifiques pour lesquelles les données personnelles seront traitées.

Cette commande se trouve à l'intérieur de Conditions de collecte et de traitement objectif (A.1.2), qui vise à démontrer que le traitement est licite, avec une base légale selon les juridictions applicables et avec des finalités clairement définies et légitimes.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.2.2) fournit les indications suivantes :

Le guide indique également que la taxonomie et les définitions de la norme ISO/IEC 19944-1 peuvent être utiles pour décrire les finalités du traitement dans le contexte du cloud computing.

Comment cela se traduit-il au regard du RGPD ?

La commande A.1.2.2 correspond à GDPR L’article 5(1)(b) (principe de limitation de la finalité) et l’article 32(4) (garantissant que les personnes agissant dans le cadre d’une procédure d’autorisation n’agissent que sur instructions). GDPR exige que les données personnelles soient collectées à des fins spécifiques, explicites et légitimes, et ne soient pas traitées ultérieurement d'une manière incompatible avec ces fins.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Ce contrôle prend en charge deux principes de confidentialité de la norme ISO 29100 :

  • Consentement et choix — Une documentation claire des objectifs permet un consentement éclairé
  • Légitimité et spécifications de l'objectif — Répond directement à l'exigence de finalités spécifiques et légitimes


escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.2.2, les auditeurs recherchent généralement :

  • registre des finalités du traitement — Une liste documentée de toutes les activités de traitement des données personnelles identifiables, avec leurs finalités déclarées
  • Avis de confidentialité — Preuve que les finalités sont communiquées aux personnes concernées par le traitement des renseignements personnels dans un langage clair et accessible
  • Registres des activités de traitement — Documents indiquant les finalités du traitement de chaque catégorie de renseignements personnels
  • Gestion du changement — Preuve que les nouvelles finalités du traitement sont évaluées et documentées avant le début du traitement
  • Conformité avec les dossiers de consentement — Que les finalités documentées dans les formulaires de consentement correspondent au traitement réellement effectué

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.2.3 Identifier le fondement juridique Une fois les objectifs définis, il convient d'identifier la base légale de chacun.
A.1.2.4 Déterminer le consentement Les procédures de consentement dépendent de finalités clairement documentées
A.1.2.9 Registres de traitement des données personnelles La documentation relative à l'objet alimente les dossiers de traitement
A.1.3.3 Informations destinées aux personnes concernées par les données personnelles Les objectifs doivent être communiqués aux personnes concernées par les renseignements personnels.
A.1.3.4 Fournir des informations Des descriptions claires et accessibles des finalités dans les avis de confidentialité
A.1.4.3 Limiter le traitement Le traitement doit se limiter à ce qui est nécessaire aux fins documentées

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence figurait à la clause 7.2.1 (identifier et documenter la finalité). Le contenu du contrôle reste sensiblement le même en 2025, mais il est désormais intégré à la clause 7.2.1. Tableau A.1 avec une séparation plus claire entre l'énoncé de contrôle (A.1.2.2) et les directives de mise en œuvre (B.1.2.2). Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.

Pourquoi nous choisir ISMS.en ligne pour la gestion du traitement ?

ISMS.en ligne fournit des outils pratiques pour documenter et gérer les processus :

  • Registre des activités de traitement — Documentez chaque activité de traitement en précisant sa finalité, les catégories de données personnelles identifiables et sa base juridique.
  • Gestion des avis de confidentialité — Maintenir des avis de confidentialité versionnés et liés aux finalités du traitement
  • Suivi des modifications — Consigner les ajouts, modifications et suppressions de finalités avec un historique complet.
  • Références croisées — Associer les finalités aux enregistrements de consentement, aux analyses d'impact sur la vie privée et aux demandes des personnes concernées
  • Preuve d'audit — Documentation relative à l'exportation à inclure dans votre dossier de preuves de conformité

Questions fréquentes

Quel niveau de détail doit contenir la documentation relative à l'objectif ?

Suffisamment claire et détaillée pour pouvoir être utilisée dans le cadre des informations fournies aux personnes concernées et comme base pour l'obtention de leur consentement. Des finalités vagues telles que « opérations commerciales » ou « amélioration des services » ont peu de chances de satisfaire à cette exigence. Chaque finalité doit décrire précisément le résultat du traitement.

Que se passe-t-il si les finalités changent après la collecte ?

Tout nouvel objectif doit être documenté et sa compatibilité avec l'objectif initial évaluée. En cas d'incompatibilité, un consentement supplémentaire ou une autre base légale est généralement requise. La modification doit être reflétée dans les notices d'information sur la protection des données et les registres de traitement mis à jour.

Cela s'applique-t-il également aux processeurs de données personnelles ?

A.1.2.2 est un contrôle du contrôleur PII. Les sous-traitants PII ont une obligation similaire mais différente en vertu de A.2.2.3 Objectifs de l'organisation (Finalités de l'organisation), ce qui les oblige à traiter les données personnelles uniquement aux fins documentées dans les instructions du client.

Documentez comment ce contrôle s'applique à votre organisation dans votre Déclaration d'applicabilité.

Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent lorsqu'ils évaluent ce contrôle.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.