Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.2.3 : Identifier la base légale

Le contrôle A.1.2.3 exige des organismes qu’ils déterminent, documentent et démontrent la conformité de chaque traitement de données à caractère personnel à un fondement juridique valable. En l’absence de fondement juridique valable, aucun traitement ne peut être effectué conformément à la norme ISO 27701:2025.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.2.3 ?

L’organisation doit déterminer, documenter et être en mesure de démontrer sa conformité avec la base légale pertinente pour le traitement des données personnelles identifiables aux fins identifiées.

Cette commande se trouve à l'intérieur de Conditions de collecte et de traitement l’objectif (A.1.2), qui vise à démontrer que le traitement est licite, qu’il repose sur une base juridique conforme aux juridictions applicables et qu’il poursuit des finalités clairement définies et légitimes. A.1.2.2 Identifier et documenter l'objectif établit est ce que nous faisons vous êtes en train de traiter et why, A.1.2.3 établit le fondement juridique qui vous permet de le faire.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.2.3) fournit les indications suivantes :

  • Certaines juridictions exigent que le fondement juridique soit établi avant Le traitement commence — les organisations ne doivent pas présumer qu'elles peuvent attribuer rétroactivement un fondement juridique
  • La norme reconnaît six catégories communes de fondements juridiques, même si la législation applicable peut les définir différemment :
  • catégories spéciales de données personnelles identifiables Si des données sont traitées (par exemple, des données de santé, des données biométriques, des données relatives à l'origine raciale ou ethnique), des bases juridiques supplémentaires peuvent être requises, telles que le consentement explicite, la nécessité de respecter les obligations du droit du travail, la protection des intérêts vitaux ou le traitement par un organisme à but non lucratif.
  • L'organisation doit être capable de démontrer que le fondement choisi soit approprié — une simple affirmation ne suffit pas

Comment cela se traduit-il au regard du RGPD ?

La commande A.1.2.3 correspond à un ensemble important de GDPR dispositions :

  • Article 5 (1) a) — Le principe de légalité, d'équité et de transparence
  • Article 6(1)–(4) — Les six bases légales du traitement, ainsi que le test de compatibilité pour un traitement ultérieur
  • Article 8 — Conditions applicables au consentement de l'enfant en matière de services de la société de l'information
  • Article 9 — Traitement des catégories particulières de données personnelles
  • Article 10 — Traitement des données relatives aux condamnations pénales et aux infractions
  • Article 17 — Droit à l'effacement (lié car les droits à l'effacement dépendent du fondement juridique invoqué)
  • Article 18 — Droit à la limitation du traitement
  • Article 22 — Prise de décision individuelle automatisée, y compris le profilage

L'étendue de cette cartographie reflète le fait que le choix du fondement juridique a des répercussions en cascade sur presque tous les aspects. GDPR obligation — des droits des personnes concernées aux durées de conservation.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Cette commande prend en charge le Légitimité et spécifications de l'objectif Le principe A.1.2.3, énoncé dans la norme ISO 29100, exige que le traitement des données personnelles soit conforme à la législation applicable et repose sur une base légale licite. Ce principe est mis en œuvre conformément à la section A.1.2.3, qui décrit le mécanisme opérationnel permettant de le respecter : il transforme cette exigence théorique en une conformité documentée et démontrable.



Le puissant tableau de bord d'ISMS.online

Commencer votre essai gratuit

Envie d'explorer ?

Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.

Commencer


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.2.3, les auditeurs recherchent généralement :

  • Registre des bases légales — Une cartographie documentée de chaque activité de traitement et de sa base légale, idéalement recoupée avec le registre des finalités du traitement. A.1.2.2 Identifier et documenter l'objectif
  • Évaluations des intérêts légitimes (EIL) — Lorsque l’intérêt légitime est invoqué, des analyses d’équilibre documentées démontrent que les intérêts de l’organisation ont été mis en balance avec les droits des personnes concernées.
  • justifications de catégorie spéciale — Justification documentée distincte pour tout traitement de données personnelles sensibles, citant le fondement juridique supplémentaire invoqué
  • dossiers de révision juridique — Preuve qu'un avis juridique a été sollicité ou qu'un examen interne a été mené lors du choix de la base juridique, notamment pour les traitements complexes ou à haut risque
  • Preuves de chronométrage — Que le fondement juridique a été déterminé avant Le traitement a commencé, mais n'a pas été documenté rétrospectivement.
  • Communication aux responsables des informations personnelles identifiables — Que le fondement juridique soit énoncé dans les avis de confidentialité et autres informations fournies aux personnes

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.2.2 Identifier et documenter l'objectif Il convient d'établir au préalable les finalités — une base légale est déterminée pour chaque finalité
A.1.2.4 Déterminer le consentement Si le consentement constitue la base légale, le processus de consentement doit être formellement défini.
A.1.2.5 Obtenir et consigner le consentement Mise en œuvre opérationnelle du consentement lorsqu'il constitue le fondement juridique choisi
A.1.2.6 Évaluation de l'impact sur la vie privée Les analyses d'impact relatives aux données (AIDD) évaluent le traitement au regard des bases légales et des finalités documentées.
A.1.3.3 Informations destinées aux personnes concernées par les données personnelles La base légale doit être communiquée aux personnes concernées par le traitement des données personnelles.
A.1.4.3 Limiter le traitement Le traitement doit se limiter à ce que permet la base légale.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence figurait dans la clause 7.2.2 (identification de la base légale). L'objectif du contrôle reste fondamentalement inchangé dans l'édition 2025, mais la restructuration en Tableau A.1 Le texte établit désormais une distinction plus claire entre l'énoncé de contrôle normatif (A.1.2.3) et le guide de mise en œuvre normatif (B.1.2.3). L'accent est mis sur la démonstrabilité : il ne s'agit pas seulement de déterminer le fondement, mais aussi de le démontrer. capable de prouver Le respect de cette règle a été maintenu et sans doute renforcé par une structure plus claire. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Demander demo


Pourquoi nous choisir ISMS.en ligne pour la gestion des documents justificatifs de base légale ?

ISMS.en ligne vous offre les outils nécessaires pour documenter, suivre et démontrer vos fondements juridiques en toute confiance :

  • Cartographie des bases légales — Associer chaque activité de traitement à son fondement juridique dans un registre structuré que les auditeurs peuvent consulter d'un seul coup d'œil.
  • Modèles d'évaluation des intérêts légitimes — Des modèles LIA prédéfinis vous guident tout au long du test d'équilibre grâce à des invites et un système de notation, pour que rien ne soit oublié.
  • drapeaux de catégorie spéciale — Signaler automatiquement les activités de traitement impliquant des données personnelles sensibles et demander la justification juridique supplémentaire requise.
  • Preuves contrôlées par version Chaque modification apportée à votre documentation relative au fondement juridique est horodatée, créant ainsi une piste d'audit qui prouve la date à laquelle les décisions ont été prises.
  • avis de confidentialité intégrés — Liez directement vos documents relatifs à la base légale aux avis de confidentialité qui les communiquent aux personnes concernées par les données personnelles identifiables.
  • Cartographie inter-cadres — Découvrez comment votre documentation relative à la base juridique satisfait simultanément aux normes ISO 27701, RGPD et autres cadres réglementaires.

Questions fréquentes

Peut-on modifier la base juridique invoquée après le début du traitement ?

Modifier a posteriori la base légale du traitement est généralement problématique. La plupart des cadres de protection des données exigent que cette base soit déterminée avant le début du traitement. En cas de changement de circonstances, il convient de documenter les raisons de cette modification, d'en informer les personnes concernées le cas échéant et d'examiner si les données existantes doivent être retraitées sur la nouvelle base ou supprimées. L'exigence essentielle est la démonstrabilité : il faut pouvoir prouver que la base était valide au moment du traitement.

Comment la base légale affecte-t-elle les droits des personnes concernées ?

Le fondement juridique sur lequel vous vous appuyez détermine directement les droits des personnes concernées. Par exemple, en vertu du RGPD, le droit à la portabilité des données ne s'applique que lorsque le traitement est fondé sur le consentement ou l'exécution d'un contrat. Le droit d'opposition s'applique spécifiquement au traitement fondé sur l'intérêt légitime ou l'intérêt public. C'est pourquoi le choix du fondement juridique approprié dès le départ est crucial : il encadre vos obligations tout au long du cycle de vie des données.

Que se passerait-il si plusieurs bases légales pouvaient s'appliquer à un même traitement ?

Vous devez identifier et documenter la base juridique principale sur laquelle vous vous appuyez pour chaque traitement de données. Bien que plusieurs bases puissent théoriquement s'appliquer, le choix d'une seule base principale apporte de la clarté aux personnes concernées et simplifie la gestion de la conformité. Le recours simultané à plusieurs bases peut engendrer de la confusion, notamment si l'une d'elles (comme le consentement) est ultérieurement retirée et que vous tentez d'en invoquer une autre.

Documentez comment ce contrôle s'applique à votre organisation dans votre Déclaration d'applicabilité.

Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent lorsqu'ils évaluent ce contrôle.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.