Que requiert le contrôle A.1.2.4 ?
L’organisation doit définir et documenter un processus lui permettant de démontrer si, quand et comment le consentement au traitement des données personnelles a été obtenu auprès des personnes concernées.
Cette commande se trouve à l'intérieur de Conditions de collecte et de traitement objectif (A.1.2). Il comble le fossé entre l'identification de votre base légale (A.1.2.3 Identifier la base légale) et obtenir effectivement le consentement (A.1.2.5 Obtenir et consigner le consentementLorsque le consentement est la base légale choisie, la section A.1.2.4 exige que vous conceviez et documentiez le mécanisme avant de commencer à recueillir le consentement.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.1.2.4) fournit les indications suivantes sur les éléments que doit couvrir la documentation relative au consentement :
- La question de savoir si le consentement était nécessaire — Tous les traitements ne nécessitent pas de consentement. L’organisation doit documenter son évaluation visant à déterminer si le consentement constitue la base juridique appropriée pour chaque activité de traitement.
- Comment le consentement a été obtenu — Le mécanisme précis utilisé (par exemple, case à cocher d'acceptation, formulaire signé, accord verbal enregistré) doit être décrit avec suffisamment de détails pour en démontrer la validité.
- Lorsque le consentement a été obtenu — Le processus doit consigner le moment du consentement par rapport au début du traitement, démontrant ainsi que le consentement a été donné avant la collecte des données personnelles.
- Si le responsable du traitement des informations personnelles a été correctement informé Avant de donner leur consentement, les personnes doivent recevoir des informations adéquates sur le traitement de leurs données. La procédure documentée doit décrire quelles informations sont fournies et comment elles le sont.
- Voir aussi A.1.2.6 : Évaluation de l'impact sur la vie privée pour les exigences connexes
- Voir aussi A.1.2.7 : Contrats avec les sous-traitants de données personnelles pour les exigences connexes
Les lignes directrices soulignent également que certaines juridictions ont exigences spécifiques relatives au consentement des enfantsLes organismes traitant des données personnelles d'enfants doivent documenter la manière dont ils vérifient l'âge de la personne concernée et, le cas échéant, la manière dont ils obtiennent le consentement des parents ou du tuteur.
Comment cela se traduit-il au regard du RGPD ?
La commande A.1.2.4 correspond à GDPR Les articles 8(1) et 8(2), qui traitent spécifiquement des conditions du consentement des enfants en ce qui concerne les services de la société de l’information :
- Article 8 (1) — Lorsque le consentement constitue la base légale et que la personne concernée est un enfant, le traitement n’est licite que si le consentement est donné ou autorisé par le titulaire de l’autorité parentale. Les États membres peuvent fixer l’âge limite entre 13 et 16 ans.
- Article 8 (2) — Le responsable du traitement doit déployer des efforts raisonnables pour vérifier que le consentement a été donné ou autorisé par le titulaire de l'autorité parentale, en tenant compte des technologies disponibles.
Bien que le GDPR La cartographie porte sur le consentement des enfants, mais les exigences plus générales en matière de consentement énoncées aux articles 6 et 7 sont tout aussi pertinentes. Le point A.1.2.4 fournit le cadre procédural qui garantit que le consentement (pour tout groupe d'âge) est systématiquement conçu, documenté et démontrable.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
Cette commande prend en charge le Consentement et choix Le principe énoncé dans la norme ISO 29100 exige que les personnes concernées par le traitement de leurs données personnelles aient la possibilité de choisir de les autoriser ou non, et que leur consentement soit obtenu, le cas échéant, avant tout traitement. La section A.1.2.4 concrétise ce principe en exigeant que la procédure de consentement soit prédéfinie et documentée, et non gérée au cas par cas.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.1.2.4, les auditeurs recherchent généralement :
- Documentation relative au processus de consentement — Une procédure écrite décrivant comment, quand et où le consentement est recueilli pour chaque activité de traitement qui en dépend
- Modèles de formulaires de consentement — Formulaires, scripts ou maquettes d'interface utilisateur standardisés présentant le libellé exact, les cases à cocher et les informations présentées aux personnes concernées par les données personnelles.
- procédures de vérification de l'âge — Lorsque des données personnelles d'enfants sont traitées, les étapes documentées pour vérifier l'âge et obtenir le consentement parental doivent être décrites.
- Preuve de fourniture d'informations — Preuve que les personnes concernées par le traitement des données personnelles reçoivent des informations adéquates avant de donner leur consentement, telles que des liens vers des avis de confidentialité, des avis progressifs ou des divulgations au moment opportun.
- Archives de décision — Documentation indiquant quelles activités de traitement nécessitent un consentement et lesquelles reposent sur d'autres bases légales, avec la justification de chaque décision
- Calendrier de révision — Preuve que les procédures de consentement sont périodiquement revues et mises à jour lorsque la législation ou les activités de traitement changent
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.1.2.3 Identifier le fondement juridique | Détermine si le consentement constitue la base appropriée — déclenche ce contrôle |
| A.1.2.5 Obtenir et consigner le consentement | L'exécution opérationnelle du processus conçu selon A.1.2.4 |
| A.1.3.3 Informations destinées aux personnes concernées par les données personnelles | Définit les informations qui doivent être fournies avant que le consentement puisse être valablement donné. |
| A.1.3.5 Modifier ou retirer son consentement | Gestion continue du consentement, y compris les mécanismes de retrait |
| A.1.2.2 Identifier et documenter l'objectif | Le consentement doit être spécifique aux fins documentées |
| A.1.2.9 Registres de traitement des données personnelles | Les dossiers de traitement doivent faire référence à la procédure de consentement utilisée. |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence figurait dans la clause 7.2.3 (déterminer quand et comment le consentement doit être obtenu). L'objectif principal reste le même dans l'édition 2025 : les organisations doivent prédéfinir et documenter leurs mécanismes de consentement. La restructuration en Tableau A.1 Elle établit une distinction plus claire entre l’énoncé de contrôle normatif (A.1.2.4) et les lignes directrices normatives (B.1.2.4). L’accent mis sur le consentement des enfants a été maintenu, reflétant l’importance continue d’une conception adaptée à l’âge dans les cadres internationaux de protection de la vie privée. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Pourquoi nous choisir ISMS.en ligne pour la conception des processus de consentement ?
ISMS.en ligne vous aide à élaborer, documenter et maintenir des processus de consentement qui satisfont les auditeurs et protègent les données personnelles des personnes concernées :
- Générateur de flux de consentement — Définir les processus de collecte du consentement avec des procédures étape par étape, des responsables désignés et des points d'approbation.
- modèle bibliothèque — Commencez par utiliser des modèles de formulaires de consentement préétablis qui couvrent les scénarios courants, notamment les formulaires en ligne, le consentement verbal et l'autorisation parentale.
- Conception du consentement lié à la finalité — Reliez chaque mécanisme de consentement directement à la finalité du traitement qu'il prend en charge, en garantissant spécificité et granularité.
- procédures de consentement des enfants — Modèles de flux de travail dédiés à la vérification de l'âge et au consentement parental, conformes à l'article 8 du RGPD et aux exigences équivalentes
- Réviser les rappels — Messages automatisés pour réviser les processus de consentement lorsque la réglementation change, que les activités de traitement sont mises à jour ou que les dates de révision arrivent à échéance
Questions fréquentes
Faut-il une procédure de consentement pour chaque activité de traitement ?
Le point A.1.2.4 exige que vous documentiez un processus permettant de démontrer if Le consentement était nécessaire, et non la manière dont il a été obtenu. Si un traitement de données repose sur une autre base légale (comme l'intérêt légitime ou la nécessité contractuelle), il convient de documenter la décision de ne pas recourir au consentement. L'essentiel est que chaque traitement de données soit justifié par une documentation, que le consentement soit utilisé ou non.
À quel point le consentement doit-il être précis ?
Le consentement doit être spécifique à chaque finalité de traitement. Un consentement global – où une seule case à cocher couvre plusieurs finalités sans lien entre elles – a peu de chances de satisfaire aux exigences de démonstrabilité de la norme. Il est recommandé de proposer des options de consentement distinctes pour chaque finalité, permettant ainsi aux personnes concernées d'accepter certaines finalités et d'en refuser d'autres. Cela simplifie également le retrait du consentement et la tenue des registres.
Quelles sont les informations adéquates avant le consentement ?
Avant de donner leur consentement, les personnes concernées par le traitement de leurs données personnelles doivent comprendre : l’identité de l’organisation, la ou les finalités du traitement, les types de données collectées, les tiers qui recevront ces données et leur droit de retirer leur consentement. Ces informations doivent être présentées de manière claire et concise, et non noyées dans des conditions générales interminables. Des notifications progressives et des informations communiquées au moment opportun constituent des approches efficaces.
Documentez comment ce contrôle s'applique à votre organisation dans votre Déclaration d'applicabilité.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent lorsqu'ils évaluent ce contrôle.
