Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.2.5 : Obtenir et consigner le consentement

Le contrôle A.1.2.5 exige des organisations qu'elles obtiennent et consignent le consentement des personnes concernées par les données personnelles, conformément à leurs procédures documentées. C'est à ce stade que la conception du consentement devient une réalité opérationnelle, créant les enregistrements vérifiables qui attestent de l'existence d'un consentement valide.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.2.5 ?

L’organisation doit obtenir et consigner le consentement des personnes concernées par les informations personnelles identifiables, conformément aux procédures documentées.

Cette commande se trouve à l'intérieur de Conditions de collecte et de traitement objectif (A.1.2) et représente l'étape opérationnelle qui suit A.1.2.4 Déterminer le consentement (conception du processus de consentement). Où A.1.2.4 Déterminer le consentement définissant how Le consentement sera recueilli, A.1.2.5 garantit que l'organisation va effectivement de l'avant — en obtenant le consentement dans la pratique et en conservant des documents qui le prouvent.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.2.5) fournit les indications suivantes :

  • L'organisation devrait être en mesure de démontrer que le consentement était donné gratuitement — Les personnes concernées par la déclaration des renseignements personnels ne doivent pas être contraintes, pénalisées pour avoir refusé, ni se voir présenter des cases pré-cochées.
  • Le consentement doit être groupe de neurones — liée à un objectif de traitement précis et clairement défini plutôt qu'à une approbation générale
  • Le consentement doit être sans ambiguïté et explicite — exprimée par une action affirmative claire (par exemple, cocher une case, cliquer sur un bouton, signer un formulaire) plutôt que déduite du silence ou de l'inactivité
  • Les enregistrements de consentement doivent contenir :

Ces trois éléments — donnés librement, spécifiques, et non ambigus et explicites — correspondent à GDPRLa définition du consentement valide de [nom de l'organisation] est devenue la norme internationale de facto en matière de qualité du consentement.

Comment cela se traduit-il au regard du RGPD ?

La commande A.1.2.5 correspond à ce qui suit GDPR dispositions :

  • Article 7 (1) — Lorsque le traitement est fondé sur le consentement, le responsable du traitement doit être en mesure de démontrer que la personne concernée a consenti. Il s'agit de l'obligation de responsabilité directe : vous devez conserver des preuves.
  • Article 7 (2) — Si le consentement est donné dans une déclaration écrite qui porte également sur d'autres sujets, la demande de consentement doit être clairement identifiable, présentée sous une forme intelligible et facilement accessible, et rédigée dans un langage clair et simple.
  • Article 9 (2) a) — Pour les catégories particulières de données, un consentement explicite est requis. Cela va au-delà du consentement standard : la personne concernée doit confirmer expressément son accord, généralement par une démarche affirmative supplémentaire.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Cette commande prend en charge le Consentement et choix principe énoncé dans la norme ISO 29100. A.1.2.4 Déterminer le consentement Le point A.1.2.5 traite de la conception du mécanisme de consentement, tandis que le point A.1.2.5 porte sur son exécution, en veillant à ce que le choix de la personne concernée par les données personnelles soit effectivement enregistré et conservé comme preuve. Ensemble, ces contrôles assurent la mise en œuvre complète du principe de consentement et de choix.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.2.5, les auditeurs recherchent généralement :

  • Base de données des enregistrements de consentement — Un système centralisé de stockage des enregistrements de consentement comportant les trois éléments requis : l’identification de la personne concernée par les données personnelles, la date et l’heure du consentement, et la déclaration de consentement.
  • Exemples de dossiers de consentement — Les auditeurs prélèvent généralement un échantillon pour vérifier l'exhaustivité des données, en s'assurant que tous les champs sont remplis et que les horodatages sont plausibles.
  • Captures d'écran du mécanisme de consentement — Preuve de l'interface ou du formulaire réellement présenté aux personnes concernées par les renseignements personnels, ne montrant aucune case pré-cochée et des exigences claires en matière d'action positive
  • Historique de la version — Les enregistrements des formulations de consentement utilisées au moment de chaque obtention, et non seulement la version actuelle.
  • Consentement explicite pour les catégories particulières — Enregistrements améliorés pour le traitement des données sensibles, montrant la mesure affirmative supplémentaire prise
  • Registres de retrait — Preuves que les demandes de retrait de consentement ont été traitées et que le traitement a cessé (liens vers A.1.3.5 Modifier ou retirer son consentement)

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.2.4 Déterminer le consentement Définit le processus de consentement mis en œuvre par A.1.2.5
A.1.2.3 Identifier le fondement juridique L'enregistrement du consentement n'est requis que lorsque le consentement est la base légale choisie.
A.1.3.5 Modifier ou retirer son consentement Gestion continue du consentement, y compris les mécanismes de renouvellement et de retrait
A.1.3.3 Informations destinées aux personnes concernées par les données personnelles L'information est une condition préalable à un consentement éclairé valable
A.1.2.2 Identifier et documenter l'objectif Le consentement doit faire référence à l'objectif précis documenté
A.1.2.9 Registres de traitement des données personnelles Les dossiers de consentement font partie des dossiers de traitement plus généraux.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence figurait à la clause 7.2.4 (obtenir et consigner le consentement). Le fond du contrôle reste inchangé dans l'édition 2025 : les trois qualités d'un consentement valable (libre, spécifique, univoque et explicite) et les trois éléments d'une trace de consentement (identification, date et déclaration de consentement) demeurent les mêmes. La restructuration en Tableau A.1 fournit une structure de référence plus claire avec l'énoncé de contrôle en A.1.2.5 et les instructions de mise en œuvre en B.1.2.5. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



Trouvez la confiance en votre conformité avec ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour la gestion des dossiers de consentement ?

ISMS.en ligne facilite l'obtention, le stockage et la démonstration d'un consentement valide :

  • Registre de consentement centralisé — Stocker tous les enregistrements de consentement dans un emplacement unique et consultable, avec les quatre champs obligatoires (identité, date/heure, finalité, informations fournies) renseignés par défaut.
  • Journal d'audit horodaté Chaque événement de consentement est automatiquement horodaté et immuable, fournissant ainsi aux auditeurs les preuves nécessaires sans tenue de registres manuels.
  • Formulaire de consentement à version contrôlée — Conservez un historique de chaque version du formulaire de consentement afin de pouvoir prouver la formulation utilisée lors de chaque recueil de consentement.
  • Suivi des retraits — Enregistrer les retraits de consentement en même temps que le consentement initial, avec création automatique de tâches pour garantir l'arrêt rapide du traitement.
  • Exportation en vrac pour les audits — Exportez les enregistrements de consentement par plage de dates, finalité ou activité de traitement afin de constituer rapidement des dossiers de preuves lors des audits.
  • Signalisation de catégorie spéciale — Identifier automatiquement les cas où un consentement explicite est requis et proposer une démarche d'action positive renforcée

Questions fréquentes

Combien de temps les documents relatifs au consentement doivent-ils être conservés ?

Les enregistrements de consentement doivent être conservés pendant toute la durée du traitement qu'ils autorisent, ainsi que pendant toute période requise par la loi applicable pour démontrer la conformité. Conformément au RGPD, le principe de responsabilité implique que vous devez être en mesure de prouver qu'un consentement valable a été donné pendant toute la durée du traitement. De nombreuses organisations conservent les enregistrements de consentement pendant le délai de prescription légal (généralement 6 ans au Royaume-Uni) après la fin du traitement, en cas de contestation réglementaire.

Qu’est-ce qui constitue une action affirmative claire ?

Une action positive requiert une démarche délibérée et volontaire de la part de la personne concernée. Par exemple : cocher une case non cochée, cliquer sur un bouton « J’accepte » clairement identifié, signer un formulaire ou fournir une déclaration verbale enregistrée. Le silence, les cases pré-cochées, la poursuite de la navigation et l’absence de retrait ne constituent pas une action positive. pas les actions positives ne constituent pas un consentement valable au titre du présent contrôle ni au titre du RGPD.

Le consentement électronique a-t-il la même valeur que le consentement écrit ?

Oui. La norme ISO 27701:2025 ne prescrit pas le format du consentement ; le consentement électronique et le consentement écrit sont tout aussi valables dès lors qu’ils répondent aux trois critères de qualité (libre, spécifique, univoque et explicite). Le consentement électronique peut même être plus facile à prouver, car les systèmes numériques enregistrent automatiquement l’horodatage, l’adresse IP et la version exacte des informations présentées. L’essentiel est que votre système d’enregistrement capture de manière fiable ces trois éléments requis.

Documentez comment ce contrôle s'applique à votre organisation dans votre Déclaration d'applicabilité.

Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent lorsqu'ils évaluent ce contrôle.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.