Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.2.9 : Enregistrements relatifs au traitement des données personnelles

Le contrôle A.1.2.9 exige des organismes qu’ils déterminent et conservent en toute sécurité les enregistrements nécessaires pour justifier leurs obligations en matière de traitement des données personnelles. Il s’agit du fondement de la responsabilité prévu par la norme ISO 27701:2025.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.2.9 ?

L’organisation doit déterminer et conserver en toute sécurité les documents nécessaires à l’appui de ses obligations en matière de traitement des données personnelles.

Cette commande se trouve à l'intérieur de Conditions de collecte et de traitement L’objectif (A.1.2) vise à démontrer que le traitement est licite, qu’il repose sur une base légale conformément aux juridictions applicables et qu’il poursuit des finalités clairement définies et légitimes. La tenue de registres permet de prouver que toutes les autres étapes fonctionnent correctement.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.2.9) fournit des indications détaillées sur les catégories d’informations que les dossiers de traitement doivent contenir :

  • Catégories de traitement — Les types d’opérations de traitement effectuées sur les données personnelles (collecte, stockage, transfert, effacement, etc.)
  • Finalités du traitement — Une explication claire des raisons pour lesquelles chaque catégorie de données personnelles est traitée, liée à la documentation relative à la finalité requise par A.1.2.2 Identifier et documenter l'objectif
  • Catégories de PII et de responsables PII — Quels types de données personnelles sont conservées et sur qui (employés, clients, visiteurs du site web, etc.) ?
  • Destinataires — Tout tiers ou sous-traitant qui reçoit les données personnelles identifiables
  • Transferts internationaux — Détails de tout transfert vers d'autres juridictions, y compris les garanties mises en place
  • Périodes de rétention — Combien de temps chaque catégorie de données personnelles est-elle conservée avant suppression ou anonymisation ?
  • Mesures de sécurité — Une description générale des mesures techniques et organisationnelles protégeant les données personnelles identifiables
  • Voir aussi A.1.2.4 : Déterminer quand et comment le consentement doit être obtenu pour les exigences connexes
  • Voir aussi A.1.2.5 : Obtenir et consigner le consentement pour les exigences connexes

Les lignes directrices soulignent également que les dossiers doivent être tenus à jour en fonction de l'évolution des activités de traitement et mis à la disposition des autorités de contrôle sur demande. Il ne s'agit pas d'un exercice de documentation ponctuel, mais d'une exigence opérationnelle permanente.

Comment cela se traduit-il au regard du RGPD ?

La commande A.1.2.9 correspond à plusieurs GDPR dispositions :

  • Article 5 (2) — Le principe de responsabilité, qui exige des contrôleurs qu'ils démontrent leur conformité
  • Article 24 (1) — Obligation de mettre en œuvre des mesures appropriées et d'être en mesure de démontrer sa conformité
  • Article 30(1)(ag) — Les exigences détaillées relatives aux registres des activités de traitement tenus par les responsables du traitement
  • Article 30(3-5) — Obligation de tenir les registres par écrit (y compris sous forme électronique), de les mettre à la disposition de l’autorité de surveillance sur demande, et exemptions pour les organisations comptant moins de 250 employés (avec exceptions).

L'article 30 est largement considéré comme l'un des plus importants sur le plan opérationnel. GDPR exigences. Un registre des activités de traitement (ROPA) bien tenu est souvent le premier document qu'une autorité de surveillance demandera au cours d'une enquête.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Cette commande prend en charge le Responsabilité Conformément au principe de la norme ISO 29100, l'obligation de rendre des comptes exige que l'organisme documente et communique ses politiques et procédures relatives à la protection de la vie privée, désigne les responsables de leur mise en œuvre et conserve les preuves de leur conformité. Les registres de traitement constituent le principal moyen de démontrer cette obligation de rendre des comptes dans la pratique.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.2.9, les auditeurs recherchent généralement :

  • Registre des activités de traitement (ROPA) — Un registre exhaustif couvrant les sept catégories énumérées dans les lignes directrices, avec la preuve d'un examen régulier
  • Contrôle de version — Preuve que les enregistrements sont mis à jour lorsque les activités de traitement changent, avec une piste d'audit claire des modifications
  • Propriété et responsabilité — Une personne ou un rôle désigné responsable de la tenue des registres de traitement
  • Accessibilité — Preuve que les documents peuvent être produits rapidement aux autorités de surveillance ou à des fins d'audit
  • Contrôles d'exhaustivité — Procédures visant à garantir que les nouvelles activités de traitement soient enregistrées avant le début du traitement.
  • Sécurité des documents — Les documents eux-mêmes contiennent des informations sensibles et doivent être protégés de manière appropriée

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.2.2 Identifier et documenter l'objectif La documentation relative à l'objet alimente directement les dossiers de traitement
A.1.2.3 Identifier le fondement juridique Le fondement juridique de chaque activité de traitement doit être consigné.
A.1.4.2 Limite de collecte Les registres doivent refléter les informations personnelles réellement collectées, favorisant ainsi la minimisation de ces informations.
A.1.4.6 Dé-identification et suppression des données personnelles Les durées de conservation des documents déterminent les calendriers de suppression.
A.1.5.2 Base du transfert des données personnelles identifiables Les détails des transferts internationaux enregistrés ici sont détaillés dans les contrôles spécifiques aux transferts.
A.1.3.3 Détermination des informations relatives aux personnes physiques à risque Les informations fournies aux personnes concernées par les renseignements personnels doivent être conformes aux dossiers de traitement.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l’édition 2019, cette exigence figurait à la clause 7.2.8 (Documents relatifs au traitement des données personnelles). Les exigences de fond restent inchangées en 2025, mais la nouvelle structure distingue plus clairement la déclaration de contrôle (A.1.2.9) du guide de mise en œuvre (B.1.2.9). L’édition 2025 insiste également sur l’importance de tenir les dossiers à jour en permanence, et non plus ponctuellement. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Gérez toute votre conformité, en un seul endroit

ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour les enregistrements de traitement des données personnelles ?

ISMS.en ligne fournit des outils spécialement conçus pour la tenue de registres de traitement complets et vérifiables :

  • Modèles ROPA préconfigurés — Commencez par un registre structuré couvrant les sept catégories requises par B.1.2.9, afin de ne manquer aucun champ obligatoire.
  • Contrôle de version automatisé Chaque modification apportée à un enregistrement de traitement est suivie par un horodatage, les informations de l'utilisateur et une description de la modification, créant ainsi la piste d'audit attendue par les auditeurs.
  • Preuves liées — Relier les enregistrements de traitement aux politiques connexes, aux enregistrements de consentement, aux analyses d'impact relatives à la protection des données et aux mécanismes de transfert dans un système intégré unique
  • Exportation de l'autorité de surveillance — Générez un export ROPA complet dans des formats adaptés aux exigences des organismes de réglementation, disponible en un clic.
  • Réviser les rappels — Définissez des cycles de révision pour chaque activité de traitement afin que les dossiers restent à jour au fur et à mesure de l'évolution de vos opérations.
  • Accès basé sur les rôles — Veiller à ce que les dossiers de traitement soient accessibles au personnel autorisé tout en restant protégés contre les modifications non autorisées

Questions fréquentes

Les petites organisations doivent-elles tenir des registres de traitement ?

Oui. Bien que l'article 30, paragraphe 5, du RGPD prévoie une exemption limitée pour les organisations de moins de 250 employés, cette exemption ne s'applique pas si le traitement est susceptible d'engendrer un risque pour les droits des personnes physiques, n'est pas occasionnel ou porte sur des catégories particulières de données. En pratique, la plupart des organisations traitant des données à caractère personnel de manière systématique doivent tenir des registres, quelle que soit leur taille. La norme ISO 27701 ne prévoit d'ailleurs aucune exemption fondée sur la taille de l'organisation.

À quelle fréquence faut-il examiner les dossiers de traitement ?

Les registres doivent être revus à chaque modification des activités de traitement et, au minimum, dans le cadre de votre cycle régulier de revue de gestion. De nombreuses organisations prévoient une revue trimestrielle ou semestrielle du registre complet, complétée par des mises à jour ponctuelles déclenchées par de nouvelles activités de traitement, des modifications des processus existants ou des changements organisationnels tels que la mise en place de nouveaux systèmes ou l'établissement de partenariats avec des tiers.

Une feuille de calcul peut-elle répondre à cette exigence ?

Techniquement, oui, mais les tableurs ne permettent pas le contrôle de version, les restrictions d'accès ni les rappels de révision automatisés. À mesure que les activités de traitement augmentent, leur gestion précise devient complexe et ils sont sujets aux erreurs. Une plateforme de conformité dédiée offre la structure, la traçabilité et les références croisées nécessaires pour garantir le respect constant des normes.

Documentez comment ce contrôle s'applique à votre organisation dans votre Déclaration d'applicabilité.

Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent lorsqu'ils évaluent ce contrôle.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.