Que requiert le contrôle A.1.2.6 ?
L’organisation doit évaluer la nécessité et mettre en œuvre, le cas échéant, une analyse d’impact relative à la protection de la vie privée chaque fois qu’un nouveau traitement de données personnelles ou des modifications apportées à un traitement existant de données personnelles sont prévus.
Cette commande se trouve à l'intérieur de Conditions de collecte et de traitement objectif (A.1.2). Contrairement aux contrôles précédents qui portent sur la base légale et le consentement, A.1.2.6 introduit un évaluation des risques Cette exigence impose une approche en deux étapes : premièrement, évaluer si une analyse d’impact relative à la protection des données (AIP) est nécessaire (étape de sélection), et deuxièmement, si elle est nécessaire, la réaliser avant le début du traitement.
Que disent les directives de mise en œuvre ?
L’annexe B (section B.1.2.6) fournit les indications suivantes :
- Le timing est critique — Des évaluations d'impact sur la protection des données (EIP) devraient être menées. avant Le traitement commence. Il s'agit d'une mesure préventive, et non d'une justification rétrospective.
- L’évaluation d’impact sur la protection des données (EIP) doit évaluer :
- Nécessité et proportionnalité — Le traitement est-il nécessaire aux fins déclarées, et la quantité de données personnelles collectées est-elle proportionnée aux besoins ?
- Risques pour les principaux responsables des assurances de renseignements personnels — Quels préjudices potentiels pourraient découler du traitement, notamment l’accès non autorisé, la perte de données, la discrimination ou l’atteinte à la réputation ?
- Mesures d'atténuation proposées — Quels contrôles, mesures de protection ou choix de conception permettront de réduire les risques identifiés à un niveau acceptable ?
- Voir aussi A.1.2.4 : Déterminer quand et comment le consentement doit être obtenu pour les exigences connexes
- Voir aussi A.1.2.5 : Obtenir et consigner le consentement pour les exigences connexes
- Les résultats devraient être documenté et sert à éclairer les décisions de traitement — l’analyse d’impact sur les processus (AIP) n’est pas un exercice de formalité, mais un outil d’aide à la décision
- Les références des directives ISO / IEC 29134 (Lignes directrices pour l'évaluation d'impact sur la vie privée) en tant que norme méthodologique détaillée pour la réalisation d'EIP
Concrètement, cela signifie que les organisations ont besoin à la fois d'un processus de sélection (pour décider quand une évaluation d'impact sur la protection des données est nécessaire) et d'une méthodologie d'évaluation d'impact sur la protection des données (pour mener l'évaluation lorsqu'elle est déclenchée).
Comment cela se traduit-il au regard du RGPD ?
Le contrôle A.1.2.6 correspond à un bloc important de GDPR dispositions :
- Article 35(1)–(11) — Les exigences relatives à l'analyse d'impact sur la protection des données (AIPD). GDPR L'IADP exige une analyse d'impact relative à la protection des données (AIPD) lorsque le traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques » et définit des exigences minimales en matière de contenu, notamment : une description systématique du traitement, une évaluation de sa nécessité et de sa proportionnalité, une évaluation des risques et des mesures visant à atténuer ces risques.
- Article 36(1) (non cartographié dans l’annexe D mais étroitement lié)–(5) — Consultation préalable de l’autorité de contrôle. Lorsqu’une analyse d’impact relative à la protection des données (AIPD) révèle un risque résiduel élevé et non atténuable, le responsable du traitement doit consulter l’autorité de contrôle avant le début du traitement.
L’exigence d’analyse d’impact relative à la protection des données (AIPD) du RGPD est plus prescriptive que le contrôle de la norme ISO 27701 : elle impose une évaluation pour les traitements à haut risque, tandis que le point A.1.2.6 exige des organisations qu’elles… évaluer le besoin Pour toute nouvelle modification de traitement de données, une analyse d'impact relative à la protection des données (AIPD) doit être réalisée. En pratique, la mise en œuvre du point A.1.2.6 satisfait aux exigences de l'AIPD du RGPD, à condition que les critères de sélection couvrent tous les scénarios de déclenchement de l'article 35.
Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?
Ce contrôle prend en charge plusieurs principes de confidentialité de la norme ISO 29100 :
- Consentement et choix — Les analyses d’impact sur la protection des données (AIP) permettent de déterminer les mécanismes de consentement qui doivent être conçus ou renforcés.
- Limitation de la collecte — L’évaluation de la nécessité et de la proportionnalité porte directement sur la question de savoir si une quantité excessive d’informations personnelles est collectée.
- Conformité à la confidentialité — Les analyses d’impact relatives à la protection des données (AIP) sont un mécanisme permettant de vérifier et de démontrer la conformité aux exigences en matière de protection de la vie privée avant le début du traitement.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.1.2.6, les auditeurs recherchent généralement :
- Critères de dépistage de l'IA — Un seuil documenté ou une liste de contrôle utilisée pour déterminer si une analyse d'impact relative à la protection des données (AIPD) complète est requise pour une activité de traitement ou une modification donnée
- dossiers de dépistage — Preuves que le processus de sélection a été appliqué aux activités de traitement nouvelles et modifiées, y compris les cas où une analyse d'impact relative à la protection des données (AIP) complète a été réalisée. pas jugé nécessaire (avec justification documentée)
- Rapports PIA complétés — Documents d'évaluation complets couvrant la nécessité, la proportionnalité, l'analyse des risques et les mesures d'atténuation proposées
- décisions relatives au traitement des risques — Preuves que les conclusions de l'analyse d'impact sur la protection des données (AIP) ont été prises en compte : mesures d'atténuation mises en œuvre, processus modifié ou, dans certains cas, processus abandonné
- Registres de signature — Approbation des parties prenantes concernées (par exemple, le DPO, la direction) confirmant que l'analyse d'impact relative à la protection des données (AIP) a été examinée et que le risque résiduel a été accepté.
- Dossiers de consultation antérieurs — Lorsque le risque résiduel est resté élevé après les mesures d’atténuation, preuve que l’autorité de surveillance a été consultée (article 36 du RGPD).
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.1.2.2 Identifier et documenter l'objectif | La documentation relative à l'objectif est un élément d'entrée de l'analyse d'impact environnemental (AIE) ; on ne peut évaluer la nécessité sans connaître l'objectif. |
| A.1.2.3 Identifier le fondement juridique | L'autorité chargée de l'évaluation de l'impact sur la protection des données (AEP) doit vérifier qu'il existe une base légale valable pour le traitement prévu. |
| A.1.4.3 Limiter le traitement | L'évaluation de la proportionnalité dans l'analyse d'impact relative à l'évaluation (AIE) éclaire les décisions de minimisation des données. |
| A.1.4.6 Dé-identification et suppression des données personnelles | Les analyses d'impact relatives aux données (AID) peuvent identifier la dépersonnalisation ou la suppression comme une mesure d'atténuation des risques. |
| A.1.2.7 Contrats avec les sous-traitants de données personnelles | Lorsque le traitement implique des sous-traitants tiers, l'analyse d'impact relative à la protection des données (AIP) doit évaluer les risques liés à ces sous-traitants. |
| ISO / IEC 29134 | La norme de référence fournit une méthodologie et des lignes directrices détaillées pour l'analyse d'impact relative à la protection des données (AIP). |
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence figurait à la clause 7.2.5 (évaluation d'impact sur la vie privée). L'exigence fondamentale demeure inchangée : évaluer la nécessité d'une évaluation d'impact sur la vie privée et en réaliser une le cas échéant. La restructuration de 2025 en Tableau A.1 Il établit une distinction plus claire entre la déclaration de contrôle (A.1.2.6) et les lignes directrices (B.1.2.6). La référence à la norme ISO/IEC 29134, qui décrit en détail la méthodologie d'analyse d'impact relative à la protection des données (AIP), a été conservée, soulignant ainsi que les organismes doivent privilégier une approche structurée plutôt qu'une évaluation ponctuelle. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi nous choisir ISMS.en ligne pour les évaluations d'impact sur la vie privée ?
ISMS.en ligne propose un flux de travail PIA de bout en bout qui vous accompagne de la sélection à la validation :
- Outil de dépistage PIA — Un questionnaire intégré qui détermine si une évaluation complète est nécessaire, avec une justification documentée pour chaque décision
- Modèles PIA structurés — Modèles d'évaluation préétablis, conformes à la norme ISO/IEC 29134, guidant les évaluateurs dans l'analyse de la nécessité, de la proportionnalité, de l'identification des risques et de la planification des mesures d'atténuation.
- Évaluation des risques et cartes thermiques — Analyse visuelle des risques avec évaluation de la probabilité et de l'impact, facilitant la priorisation des mesures d'atténuation et la communication des résultats aux parties prenantes.
- Suivi des mesures d'atténuation — Attribuer des actions de traitement des risques aux propriétaires, assorties d'échéances, et suivre l'avancement de leur mise en œuvre sur la même plateforme.
- Flux de travail d'approbation — Transmettre les analyses d'impact relatives à la protection des données (AIP) complétées au délégué à la protection des données (DPO) ou à la direction pour examen et approbation, en conservant une trace complète du processus d'approbation.
- Preuves liées — Relier les analyses d'impact relatives aux données (AID) aux activités de traitement, aux bases légales et aux enregistrements de consentement auxquels elles se rapportent, afin de dresser un tableau complet de la conformité.
Questions fréquentes
Quand une analyse d'impact sur la vie privée est-elle obligatoire ?
Selon la norme ISO 27701:2025, une analyse d'impact sur la protection des données (AIP) n'est pas automatiquement obligatoire pour chaque activité de traitement ; le contrôle exige que vous évaluer le besoin D’une part, l’article 35 du RGPD impose une analyse d’impact relative à la protection des données (AIPD) lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits des personnes physiques. Le Comité européen de la protection des données a publié des critères, notamment : l’évaluation systématique des aspects personnels (profilage), le traitement à grande échelle de catégories particulières de données et la surveillance systématique des zones accessibles au public. Les organisations devraient intégrer ces éléments à leurs critères de sélection.
Une analyse d'impact relative à l'assurance qualité (AIP) peut-elle être réalisée après que le traitement a déjà commencé ?
La norme et le RGPD exigent tous deux que des analyses d'impact relatives aux données personnelles (AIDP) soient réalisées. avant Le traitement commence. Cependant, si vous constatez qu'une analyse d'impact relative à la protection des données (AIP) aurait dû être réalisée et ne l'a pas été, il est préférable d'en effectuer une a posteriori plutôt que de ne pas en faire du tout. L'AIP a posteriori peut identifier des risques nécessitant une atténuation immédiate, voire l'arrêt du traitement. Les auditeurs prendront en compte le délai, mais considéreront une AIP réalisée tardivement comme plus acceptable qu'une absence d'AIP.
À quelle fréquence faut-il réviser les analyses d'impact relatives aux processus (AIP) existantes ?
Les analyses d'impact relatives aux données (AID) doivent être révisées à chaque modification importante du traitement qu'elles couvrent, par exemple l'ajout de nouvelles catégories de données, de nouveaux destinataires, des évolutions technologiques ou réglementaires. Il est également recommandé d'établir un calendrier de révision périodique (par exemple, annuel) afin de détecter les changements mineurs qui n'auraient pas fait l'objet d'une révision individuelle. Cette révision doit permettre de vérifier si l'analyse des risques et les mesures d'atténuation initiales restent valides.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent lorsqu'ils évaluent ce contrôle.
A analyse des écarts peut vous aider à évaluer si votre processus actuel d'analyse d'impact sur la protection des données (AIP) répond aux exigences de 2025.
