Passer au contenu
ISMS.en ligne

ISO 27701:2025 Contrôle A.1.3.10 : Traitement des demandes

Le contrôle A.1.3.10 exige des organisations qu'elles définissent et documentent leurs politiques et procédures de traitement des demandes légitimes émanant des personnes concernées par les données personnelles. Il s'agit du cadre opérationnel fondamental qui sous-tend tous les autres contrôles A.1.3.

Auteur
Max Edwards
Mise à jour Mars 27, 2026
4 / 5 Etoiles

Que requiert le contrôle A.1.3.10 ?

L’organisation doit définir et documenter les politiques et procédures de traitement et de réponse aux demandes légitimes des personnes concernées par les informations personnelles identifiables.

Cette commande se trouve à l'intérieur de Obligations envers les principaux responsables de l'assurance responsabilité civile professionnelle objectif (A.1.3). Il s'agit du contrôle opérationnel qui sous-tend tous les contrôles des droits individuels : retrait du consentement, objection, accès, rectification et effacement, fournir des copies et notification à un tiers. Sans un cadre de traitement des demandes bien défini, les droits individuels deviennent théoriques plutôt que pratiques.

Que disent les directives de mise en œuvre ?

L’annexe B (section B.1.3.10) fournit des orientations sur la mise en place d’un cadre complet de traitement des demandes :

  • Délais de réponse — Définir des délais clairs pour l’accusé de réception et le traitement des demandes, conformément aux exigences légales applicables (par exemple, un mois sous GDPR, avec possibilité de prolongation de deux mois pour les demandes complexes)
  • Procédures de vérification — Établir des procédures proportionnées pour vérifier l'identité du demandeur avant de traiter la demande
  • Chemins d'escalade — Définir qui traite les demandes courantes, quand et comment les demandes sont transmises à un niveau supérieur (par exemple, les demandes complexes, les demandes impliquant des données sensibles, les demandes pour lesquelles des exemptions peuvent s'appliquer).
  • Enregistrement des requêtes et des résultats — Tenir un registre complet de toutes les demandes reçues, incluant les dates, les types, les décisions, les dates d'achèvement et les exemptions appliquées.
  • Options de libre-service — Envisagez de mettre en place des mécanismes de libre-service (portails en ligne, centres de préférences) permettant aux personnes concernées par les données personnelles d'exercer certains droits sans avoir à soumettre de demande formelle.
  • La formation du personnel — Former tout le personnel concerné aux procédures de traitement des demandes, notamment à la reconnaissance d'une demande valide, à la vérification d'identité et à l'utilisation du système de gestion des demandes.
  • Voir aussi A.1.3.3 : Détermination des informations relatives aux personnes physiques à risque pour les exigences connexes
  • Voir aussi A.1.3.4 : Fourniture d'informations aux personnes concernées par les données personnelles pour les exigences connexes

Les recommandations soulignent que le traitement des demandes ne doit pas être improvisé. Une procédure documentée et reproductible garantit la cohérence, réduit le risque de non-respect des délais et fournit les preuves attendues par les auditeurs.

Comment cela se traduit-il au regard du RGPD ?

La commande A.1.3.10 correspond à GDPR Article 12(3-6) et Article 15(1)(ah) :

  • Article 12 (3) Le responsable du traitement fournit sans délai indu les informations relatives aux suites données à une demande et, en tout état de cause, dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, le responsable du traitement en informant la personne concernée dans un délai d'un mois.
  • Article 12 (4) — Si le responsable du traitement ne donne pas suite à la demande, il en informe la personne concernée sans délai et au plus tard dans un délai d'un mois, en précisant les motifs et en lui indiquant son droit d'introduire une réclamation.
  • Article 12 (5) Les informations et les mesures prises sont gratuites. Lorsque les demandes sont manifestement infondées ou excessives, le responsable du traitement peut exiger des frais raisonnables ou refuser d'agir.
  • Article 12 (6) — Lorsque le responsable du traitement a des doutes raisonnables quant à l'identité du demandeur, il peut demander des informations supplémentaires.
  • Article 15(1)(ah) — Les informations spécifiques qui doivent être fournies en réponse à une demande d'accès

L’article 12 du RGPD définit le cadre procédural qui régit l’exercice des droits des personnes concernées. Son respect est essentiel pour garantir la conformité des opérations.

Quel est le lien avec les principes de confidentialité de la norme ISO 29100 ?

Ce contrôle prend en charge deux principes de confidentialité de la norme ISO 29100 :

  • participation et accès individuels — Le traitement efficace des demandes est le mécanisme par lequel les individus exercent leurs droits de participation
  • Responsabilité — Les procédures documentées, la tenue des registres et la formation démontrent que l'organisation prend ses obligations au sérieux et peut prouver sa conformité.


Le puissant tableau de bord d'ISMS.online

Démarrez facilement avec une démonstration de produit personnelle

L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.

Réservez votre démo


Quelles preuves les auditeurs attendent-ils ?

Lors de l'évaluation de la conformité à la norme A.1.3.10, les auditeurs recherchent généralement :

  • politique de traitement des demandes — Une politique exhaustive et documentée couvrant tous les types de demandes, les délais, les rôles, les critères d'escalade et les exemptions
  • Procédures d'utilisation normalisées — Procédures étape par étape pour chaque type de demande (accès, rectification, effacement, portabilité, opposition, retrait du consentement)
  • Demande d'inscription — Un registre tenu à jour de toutes les demandes, indiquant la date, le type, le gestionnaire assigné, le statut, la date d'achèvement et le résultat.
  • Indicateurs de performance — Données montrant les délais de réponse moyens, les taux de réalisation dans les délais impartis et tout dépassement de délai, avec analyse des causes profondes
  • procédures de vérification d'identité — Étapes de vérification documentées et proportionnées pour chaque canal par lequel les demandes sont reçues
  • Dossiers de formation — Preuve que le personnel chargé du traitement des demandes a reçu une formation et que cette formation est régulièrement mise à jour.
  • Modèles de réponse — Des modèles standardisés pour l'accusé de réception, l'exécution, l'exécution partielle et le refus, garantissant une communication cohérente et juridiquement valable

Quelles sont les commandes associées ?

Contrôle Lien familial
A.1.3.2 Obligations envers les mandants PII Identifie les droits ; A.1.3.10 fournit le cadre opérationnel pour leur mise en œuvre
A.1.3.7 Accès, rectification ou effacement Les types de requêtes les plus courants que le framework de traitement doit prendre en charge
A.1.3.9 Fourniture d'une copie des données personnelles traitées Les demandes de copie et de portabilité sont traitées dans ce cadre.
A.1.3.5 Modifier ou retirer son consentement Les demandes de retrait de consentement sont traitées dans ce cadre.
A.1.3.6 S'opposer au traitement des données personnelles Les demandes d'objection sont traitées dans ce cadre.
A.1.3.8 Obligations d'informer les tiers La notification aux tiers est une étape ultérieure du flux de travail de traitement des requêtes.

Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?

Pour une approche étape par étape, voir le Transition de 2019 à 2025.

Dans l'édition 2019, cette exigence figurait à la clause 7.3.9 (Traitement des demandes). L'édition 2025 lui attribue son propre numéro de contrôle (A.1.3.10) et fournit des instructions spécifiques dans la clause B.1.3.10. Les exigences fondamentales restent sensiblement les mêmes, mais l'édition 2025 met davantage l'accent sur les options en libre-service et la formation du personnel en tant qu'éléments constitutifs d'un cadre de traitement efficace. La structure ainsi établie facilite également l'audit indépendant de ce contrôle. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Pourquoi nous choisir ISMS.en ligne pour le traitement des demandes des personnes concernées ?

ISMS.en ligne fournit un système complet de gestion des demandes conçu pour garantir la conformité aux normes de confidentialité :

  • Portail de demande centralisé — Un point de réception unique pour toutes les demandes d'accès aux données personnelles, avec catégorisation automatique par type de demande et attribution au membre d'équipe approprié.
  • Gestion des délais — Calcul automatisé des délais en fonction de la juridiction applicable, avec alertes d'escalade à l'approche des échéances et notifications de retard en cas de dépassement.
  • Flux de travail de vérification d'identité — Des étapes de vérification intégrées, configurables par type de requête et niveau de risque, garantissent des contrôles proportionnés sans créer de frictions.
  • Piste d'audit de bout en bout Chaque action relative à une demande est consignée avec un horodatage, de la réception initiale à la réponse finale, constituant ainsi la base de preuves requise par les auditeurs.
  • Tableau de bord de performance — Des indicateurs en temps réel sur les volumes de requêtes, les temps de réponse, les taux de résolution et les tendances, vous aidant à identifier les goulots d'étranglement opérationnels et à démontrer une amélioration continue
  • Intégration en libre-service — Offrez aux personnes concernées par le traitement des données personnelles des options de libre-service pour les demandes courantes (gestion du consentement, mise à jour des préférences), réduisant ainsi le volume de demandes formelles que votre équipe doit gérer.

Questions fréquentes

Qu’est-ce qui rend une demande « manifestement infondée ou excessive » ?

En vertu du RGPD, une demande peut être manifestement infondée si la personne concernée n'a clairement aucune intention d'exercer ses droits (par exemple, en formulant la demande dans le seul but de perturber le bon fonctionnement de l'entreprise). Une demande peut être excessive si elle est répétitive, par exemple si elle sollicite l'accès aux mêmes données à plusieurs reprises dans un court laps de temps sans aucun changement de situation. Il incombe au responsable du traitement de prouver que la demande est infondée ou excessive. Ce seuil est volontairement élevé, et la plupart des demandes légitimes devraient être satisfaites.

Comment devez-vous gérer les demandes verbales ou informelles ?

Une demande d'accès aux données valide ne nécessite pas d'être formulée par écrit ni d'utiliser un langage spécifique. Le personnel doit être formé à reconnaître une demande verbale ou par courriel comme valide. Il est recommandé d'enregistrer immédiatement la demande dans votre système de suivi et de suivre la même procédure que pour les demandes formelles. Si une vérification d'identité est nécessaire, expliquez-le à la personne concernée et accompagnez-la tout au long du processus. Le délai court à compter de la date de réception de la demande, et non de la date de vérification d'identité.

Que faire lorsqu'une demande implique plusieurs droits ?

Une seule communication d'une personne concernée par des données personnelles peut contenir plusieurs demandes (par exemple, l'accès à ses données et l'effacement de certains enregistrements). Chaque élément doit être consigné et suivi séparément, car des délais, des exemptions ou des procédures différentes peuvent s'appliquer. Cependant, la réponse peut être regroupée dans une seule communication adressée à la personne concernée. Lorsqu'un élément dépend d'un autre (par exemple, l'accès aux données avant leur effacement afin que la personne concernée puisse les vérifier), la séquence doit être gérée en conséquence.

Nos guide des exigences en matière de preuves d'audit détaille la documentation attendue par les auditeurs en matière de contrôle des droits des personnes concernées.

Les DPO chargés de ces obligations devraient consulter notre guide pour les DPO pour un aperçu complet.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Leader - Printemps 2026
Entreprise à haut potentiel - Printemps 2026 Petites entreprises Royaume-Uni
Responsable régional - Printemps 2026 UE
Responsable régional - Printemps 2026 EMEA
Responsable régional - Printemps 2026 Royaume-Uni
Performance exceptionnelle - Marché intermédiaire EMEA, printemps 2026

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.